阻止 Kubernetes 集群 GCP 上的 ICMP 流量

【问题标题】:Block ICMP trafic on kubernetes cluster GCP阻止 Kubernetes 集群 GCP 上的 ICMP 流量
【发布时间】:2021-05-01 21:57:27
【问题描述】:

大家好,我需要在 GCP 中的 Kubernetes 集群中阻止 ICMP 协议,但没有办法做到这一点。有人可以帮助我

【问题讨论】:

  • 嗨鲁本!虽然问题很清楚,但可能值得添加有关您的集群的更多信息。这是托管的 Kubernetes(GKE、AKS、EKS)吗?什么版本?您使用的是 ISTIO 还是任何其他服务网格?你用的是什么CNI?你想从哪里阻止 ICMP 协议;从 POD 到 POD 或 POD 到 VM 或 VM 到 POD 或 VM 到 VM(VM = K8s 节点)?有了更多的上下文,我们将能够解决您的所有问题。
  • GKE,1.17.17-gke.3700,无服务网格,GKE 默认 CNI。这是使用 GKE 内置功能(即 TCP 负载平衡)实现负载平衡器服务时的外部 ICMP 连接。谢谢男人
  • 这能回答你的问题吗? Google GKE Load Balancer firewall need to block ping

标签: google-kubernetes-engine


【解决方案1】:

GKE 在创建以下资源时自动创建防火墙规则:

GKE 集群、GKE 服务、GKE 入口

自动为集群创建以下防火墙规则。

gke-[cluster-name]-[cluster-hash]-master (仅私有集群), gke-[cluster-name]-[cluster-hash]-ssh (仅公有集群), gke-[ cluster-name]-[cluster-hash]-vms, gke-[cluster-name]-[cluster-hash]-all.

要阻止集群的 ICMP 协议,转到控制台->VPC 网络->防火墙->选择允许 ICMP 的与集群相关的防火墙规则。点击编辑并转到协议和端口。在指定的协议和端口下,取消选择其他协议或从其他协议列表中删除 icmp。

您还可以创建比自动创建的防火墙规则具有更高优先级的自定义防火墙规则。自定义防火墙规则的配置数据应与自动创建的防火墙规则相同,但优先级除外。

第一种方法比第二种方法容易。

【讨论】:

    猜你喜欢
    • 2020-04-15
    • 1970-01-01
    • 2019-02-28
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-07-11
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode