第 2 章 使用防火墙
红帽构建的 MicroShift 中不需要防火墙,但使用防火墙可以防止对红帽构建的 MicroShift API 的不必要的访问权限。
2.1. 关于通过防火墙的网络流量
firewalld 是一个在后台运行并响应连接请求的网络服务,创建基于主机的动态自定义防火墙。如果您使用带有红帽构建的 MicroShift 的 Red Hat Enterprise Linux (RHEL) for Edge,则应已安装 firewalld,您只需要配置它。遵循的步骤中提供了详细信息。总体而言,当 firewalld
服务运行时,您必须明确允许以下 OVN-Kubernetes 流量:
- CNI pod 到 CNI pod
- CNI pod 到 Host-Network pod Host-Network pod 到 Host-Network pod
- CNI pod
- 使用 CNI 网络的 Kubernetes pod
- Host-Network pod
-
使用主机网络的 Kubernetes pod,您可以按照以下步骤配置
firewalld
服务。在大多数情况下,firewalld 是 {rhel} 安装的一部分。如果没有 firewalld,您可以参照本节中的简单流程安装它。
重要
红帽构建的 MicroShift pod 必须有权访问内部 CoreDNS 组件和 API 服务器。
其他资源