主页
产品
OpenShift Container Platform
4.12
网络
8.3. 部署 Ingress Node Firewall Operator

8.3. 部署 Ingress Node Firewall Operator

前提条件

已安装 Ingress Node Firewall Operator。

流程

要拒绝 Ingress Node Firewall Operator，请创建一个 IngressNodeFirewallConfig 自定义资源，该资源将部署 Operator 的守护进程集。您可以通过应用防火墙规则，将一个或多个 IngressNodeFirewall CRD 部署到节点。

在 openshift-ingress-node-firewall 命名空间中创建 IngressNodeFirewallConfig，名为 ingressnodefirewallconfig。
运行以下命令来部署 Ingress Node Firewall Operator 规则：
```
oc apply -f rule.yaml
```
```
$ oc apply -f rule.yaml
```
Copy to Clipboard Toggle word wrap

8.3.1. Ingress 节点防火墙配置对象
复制链接

下表中描述了 Ingress Node Firewall 配置对象的字段：

Expand

表 8.1. Ingress 节点防火墙配置对象
字段	类型	描述
`metadata.name`	`string`	CR 对象的名称。防火墙规则对象的名称必须是 `ingressnodefirewallconfig`。
`metadata.namespace`	`string`	Ingress Firewall Operator CR 对象的命名空间。`IngressNodeFirewallConfig` CR 必须在 `openshift-ingress-node-firewall` 命名空间中创建。
`spec.nodeSelector`	`string`	通过指定节点标签 (label) 用于目标节点的节点选择约束。例如： `spec: nodeSelector: node-role.kubernetes.io/worker: ""` Copy to Clipboard Toggle word wrap 注意 `nodeSelector` 中使用的一个标签必须与节点上的标签匹配，以便守护进程集启动。例如，如果节点标签 `node-role.kubernetes.io/worker` 和 `node-type.kubernetes.io/vm` 应用到某个节点，则必须使用 `nodeSelector` 至少设置一个标签设置来使守护进程启动。

注意

Operator 使用 CR，并在与 nodeSelector 匹配的所有节点上创建一个入口节点防火墙守护进程集。

Ingress Node Firewall Operator 示例配置

以下示例中指定了完整的 Ingress Node 防火墙配置：

Ingress 节点防火墙配置对象示例

apiVersion: ingressnodefirewall.openshift.io/v1alpha1
kind: IngressNodeFirewallConfig
metadata:
  name: ingressnodefirewallconfig
  namespace: openshift-ingress-node-firewall
spec:
  nodeSelector:
    node-role.kubernetes.io/worker: ""

apiVersion: ingressnodefirewall.openshift.io/v1alpha1
kind: IngressNodeFirewallConfig
metadata:
  name: ingressnodefirewallconfig
  namespace: openshift-ingress-node-firewall
spec:
  nodeSelector:
    node-role.kubernetes.io/worker: ""

Copy to Clipboard

Toggle word wrap

注意

Operator 使用 CR，并在与 nodeSelector 匹配的所有节点上创建一个入口节点防火墙守护进程集。

8.3.2. Ingress 节点防火墙规则对象
复制链接

下表中描述了 Ingress Node Firewall 规则对象的字段：

Expand

表 8.2. Ingress 节点防火墙规则对象
字段	类型	描述
`metadata.name`	`string`	CR 对象的名称。
`interfaces`	`数组`	此对象的字段指定要应用防火墙规则的接口。例如，`- en0` 和 `- en1`。
`nodeSelector`	`数组`	您可以使用 `nodeSelector` 来选择节点来应用防火墙规则。将指定 `nodeselector` 标签的值设置为 `true` 以应用该规则。
`ingress`	`object`	`Ingress` 允许您配置允许从外部访问集群中的服务的规则。

8.3.2.1. Ingress 对象配置
复制链接

ingress 对象的值在下表中定义：

Expand

表 8.3. Ingress 对象
字段	类型	描述
`sourceCIDRs`	`数组`	允许您设置 CIDR 块。您可以从不同地址系列配置多个 CIDR。注意不同的 CIDR 允许您使用相同的顺序规则。如果同一节点有多个 `IngressNodeFirewall` 对象，且带有重叠 CIDR 的接口，则 `order` 字段将指定首先应用该规则。规则以升序应用。
`rules`	`数组`	对于每个 `source.CIDR`，Ingress 防火墙 `rules.order` 对象的顺序以 `1` 开始，每个 CIDR 最多 100 个规则。低顺序规则会首先执行。 `rules.protocolConfig.protocol` 支持以下协议：TCP、UDP、SCTP、ICMP 和 ICMPv6。ICMP 和 ICMPv6 规则可以匹配 ICMP 和 ICMPv6 类型或代码。TCP、UDP 和 SCTP 规则针对单一一个目标端口或一个目标端口范围（格式为 `<start : end-1>`）进行匹配。将 `rules.action` 设置为 `allow` 以应用规则，`deny` 来禁止规则。注意 Ingress 防火墙规则使用阻止任何无效配置的验证 Webhook 进行验证。验证 Webhook 会阻止阻塞任何关键集群服务，如 API 服务器或 SSH。

8.3.2.2. Ingress 节点防火墙规则对象示例
复制链接

以下示例中指定了完整的 Ingress Node 防火墙配置：

Ingress 节点防火墙配置示例

apiVersion: ingressnodefirewall.openshift.io/v1alpha1
kind: IngressNodeFirewall
metadata:
  name: ingressnodefirewall
spec:
  interfaces:
  - eth0
  nodeSelector:
    matchLabels:
      <ingress_firewall_label_name>: <label_value> 
  ingress:
  - sourceCIDRs:
       - 172.16.0.0/12
    rules:
    - order: 10
      protocolConfig:
        protocol: ICMP
        icmp:
          icmpType: 8 #ICMP Echo request
      action: Deny
    - order: 20
      protocolConfig:
        protocol: TCP
        tcp:
          ports: "8000-9000"
      action: Deny
  - sourceCIDRs:
       - fc00:f853:ccd:e793::0/64
    rules:
    - order: 10
      protocolConfig:
        protocol: ICMPv6
        icmpv6:
          icmpType: 128 #ICMPV6 Echo request
      action: Deny

apiVersion: ingressnodefirewall.openshift.io/v1alpha1
kind: IngressNodeFirewall
metadata:
  name: ingressnodefirewall
spec:
  interfaces:
  - eth0
  nodeSelector:
    matchLabels:
      <ingress_firewall_label_name>: <label_value>


  ingress:
  - sourceCIDRs:
       - 172.16.0.0/12
    rules:
    - order: 10
      protocolConfig:
        protocol: ICMP
        icmp:
          icmpType: 8 #ICMP Echo request
      action: Deny
    - order: 20
      protocolConfig:
        protocol: TCP
        tcp:
          ports: "8000-9000"
      action: Deny
  - sourceCIDRs:
       - fc00:f853:ccd:e793::0/64
    rules:
    - order: 10
      protocolConfig:
        protocol: ICMPv6
        icmpv6:
          icmpType: 128 #ICMPV6 Echo request
      action: Deny

Copy to Clipboard

Toggle word wrap

1: 节点上必须存在 <label_name> 和 <label_value>，且必须与应用到您希望 ingressfirewallconfig CR 运行的节点的 nodeselector 标签和值匹配。<label_value> 可以是 true 或 false。通过使用 nodeSelector 标签，您可以针对单独的节点组为目标，以使用 ingressfirewallconfig CR 应用不同的规则。

8.3.2.3. 零信任 Ingress Node Firewall 规则对象示例
复制链接

零信任 Ingress 节点防火墙规则可为多接口集群提供额外的安全性。例如，您可以使用零信任 Ingress Node Firewall 规则来丢弃除 SSH 之外的特定接口上的网络流量。

以下示例中指定了零信任 Ingress Node Firewall 规则集的完整配置：

重要

用户需要为其提供应用程序使用的所有端口添加到允许列表，以确保正常工作。

零信任 Ingress 节点防火墙规则示例

apiVersion: ingressnodefirewall.openshift.io/v1alpha1
kind: IngressNodeFirewall
metadata:
 name: ingressnodefirewall-zero-trust
spec:
 interfaces:
 - eth1 
 nodeSelector:
   matchLabels:
     <ingress_firewall_label_name>: <label_value> 
 ingress:
 - sourceCIDRs:
      - 0.0.0.0/0 
   rules:
   - order: 10
     protocolConfig:
       protocol: TCP
       tcp:
         ports: 22
     action: Allow
   - order: 20
     action: Deny

apiVersion: ingressnodefirewall.openshift.io/v1alpha1
kind: IngressNodeFirewall
metadata:
 name: ingressnodefirewall-zero-trust
spec:
 interfaces:
 - eth1


 nodeSelector:
   matchLabels:
     <ingress_firewall_label_name>: <label_value>


 ingress:
 - sourceCIDRs:
      - 0.0.0.0/0


   rules:
   - order: 10
     protocolConfig:
       protocol: TCP
       tcp:
         ports: 22
     action: Allow
   - order: 20
     action: Deny

Copy to Clipboard

Toggle word wrap

1: Network-interface 集群
2: <label_name> 和 <label_value> 需要与应用到 ingressfirewallconfig CR 的特定节点的 nodeSelector 标签和值匹配。
3: 0.0.0.0/0 匹配任何 CIDR
4: action 设置为 Deny

返回顶部

8.3. 部署 Ingress Node Firewall Operator

8.3.1. Ingress 节点防火墙配置对象
复制链接

Ingress Node Firewall Operator 示例配置

8.3.2. Ingress 节点防火墙规则对象
复制链接

8.3.2.1. Ingress 对象配置
复制链接

8.3.2.2. Ingress 节点防火墙规则对象示例
复制链接

8.3.2.3. 零信任 Ingress Node Firewall 规则对象示例
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

8.3. 部署 Ingress Node Firewall Operator

8.3.1. Ingress 节点防火墙配置对象复制链接链接已复制到粘贴板!

Ingress Node Firewall Operator 示例配置

8.3.2. Ingress 节点防火墙规则对象复制链接链接已复制到粘贴板!

8.3.2.1. Ingress 对象配置复制链接链接已复制到粘贴板!

8.3.2.2. Ingress 节点防火墙规则对象示例复制链接链接已复制到粘贴板!

8.3.2.3. 零信任 Ingress Node Firewall 规则对象示例复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

8.3.1. Ingress 节点防火墙配置对象
复制链接

8.3.2. Ingress 节点防火墙规则对象
复制链接

8.3.2.1. Ingress 对象配置
复制链接

8.3.2.2. Ingress 节点防火墙规则对象示例
复制链接

8.3.2.3. 零信任 Ingress Node Firewall 规则对象示例
复制链接