#允许控制节点
iptables -A INPUT -s master-node -p tcp --dport 6443 -j ACCEPT
#允许数据节点
iptables -A INPUT -s data-node -p tcp --dport 6443 -j ACCEPT
#允许k8s内部服务网段
iptables -A INPUT -s 10.40.0.0/16 -p tcp --dport 6443 -j ACCEPT
#允许k8s内部POD网段
iptables -A INPUT -s 172.20.0.0/16 -p tcp --dport 6443 -j ACCEPT
#允许k8s内部DNS网段
iptables -A INPUT -s 169.254.0.0/16 -p tcp --dport 6443 -j ACCEPT
#允许本机IP
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 6443 -j ACCEPT
iptables -A INPUT -p tcp --dport 6443 -j DROP
#同样方式处理2379(etcd-client)、2380(etcd-server)、10250、10257、10259端口
#延迟保存,确保集群没问题后持久化
iptables-save > /etc/iptables/rules.v4
Control plane
|
Protocol | Direction | Port Range | Purpose | Used By |
|---|---|---|---|---|
| TCP | Inbound | 6443 | Kubernetes API server | All |
| TCP | Inbound | 2379-2380 | etcd server client API | kube-apiserver, etcd |
| TCP | Inbound | 10250 | Kubelet API | Self, Control plane |
| TCP | Inbound | 10259 | kube-scheduler | Self |
| TCP | Inbound | 10257 | kube-controller-manager | Self |
Worker node(s)
| Protocol | Direction | Port Range | Purpose | Used By |
|---|---|---|---|---|
| TCP | Inbound | 10250 | Kubelet API | Self, Control plane |
| TCP | Inbound | 10256 | kube-proxy | Self, Load balancers |
| TCP | Inbound | 30000-32767 | NodePort Services† | All |
分类:
k8s、etcd、calico
posted on
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· DeepSeek 开源周回顾「GitHub 热点速览」
· 记一次.NET内存居高不下排查解决与启示
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!