当节点位于使用高级网络的子网中时,需要在节点和 Azure Kubernetes 服务的主节点之间打开用于 TCP/UDP 通信的哪个端口?
出于安全原因,我们必须在通过 Azure 中的 VPN 连接到本地网络的每个子网上使用网络安全组。此 NSG 必须拒绝计算机之间的每个隐式流量,即使在同一子网中也是如此,以阻止攻击在系统之间遍历。 因此,对于具有高级网络的 azure kubernetes 服务也是如此,该服务使用通过 vnet 对等互连连接的子网。
如果 NSG 位于 aks 高级网络的子网上是受支持的方案,以及需要哪些端口才能使其正常工作,我们找不到答案。
我们尝试了默认的 NSG,它拒绝主机之间的流量,但这阻碍了我们连接到服务和节点而不会出现错误。
AKS 是一个托管群集。托管群集主服务器意味着您不需要配置高可用性etcd存储等组件,但也意味着您无法直接访问群集主服务器。
创建 AKS 群集时,会自动创建和配置群集主服务器。Azure 平台配置群集主节点和节点之间的安全通信。与集群主节点的交互是通过 Kubernetes API 进行的,例如 kubectl 或 Kubernetes 仪表板。
有关更多详细信息,请参阅 Azure Kubernetes Service (AKS) 的 Kubernetes 核心概念。如果您需要自己配置集群主节点和其他东西,您可以使用 aks-engine 部署自己的 Kubernetes 集群。
为了 Pod 的安全性,您可以使用网络策略来改进它。虽然它只是一个预览版本。
此外,如果要连接到 AKS 节点,则不建议公开与 AKS 群集节点的远程连接。建议在管理虚拟网络中创建堡垒主机或跳转盒。使用堡垒主机安全地将流量路由到 AKS 群集,以执行远程管理任务。有关详细信息,请参阅通过堡垒主机安全连接到节点。
如果您还有其他问题,请告诉我。我很高兴提供更多帮助。