Wenn Sie Version 11.2+ Agenten verwenden, um Container zu schützen, die ein Overlay-Netzwerk
nutzen, müssen Sie möglicherweise einige Firewall-Regeln hinzufügen, um den Netzwerkverkehr
für die Swarm- oder Kubernetes-Dienste zuzulassen, da die standardmäßigen Firewall-Regeln
diesen Verkehr sperren.
Kubernetes-Firewall-Regeln
Wenn Sie Kubernetes verwenden, fügen Sie die folgenden Regeln hinzu, um den k8s-Kommunikationsverkehr
zu übergehen und den Dienstverkehr zu exportieren:
|
Name
|
Aktionstyp
|
Priorität
|
Richtung
|
Rahmentyp
|
Protokoll
|
Quell-IP
|
Quellport
|
Ziel-IP
|
Zielport
|
|
HTTP eingehender TCP 80 Zielport
|
Erzwingen erlauben
|
0 - Niedrigste
|
Eingehend
|
IP
|
TCP
|
Alle
|
N/A
|
Alle
|
80
|
|
HTTP ausgehender TCP 80 Quellport
|
Erzwingen erlauben
|
0 - Niedrigste
|
Ausgehend
|
IP
|
TCP
|
Alle
|
80
|
Alle
|
Alle
|
|
K8s eingehender TCP-Port 10054
|
Erzwingen erlauben
|
0 - Niedrigste
|
Eingehend
|
IP
|
TCP
|
Alle
|
Alle
|
Alle
|
10054
|
|
K8s ausgehender TCP-Port 10054
|
Erzwingen erlauben
|
0 - Niedrigste
|
Ausgehend
|
IP
|
TCP
|
Alle
|
Alle
|
Alle
|
10054
|
|
K8s ausgehender TCP-Port 443
|
Erzwingen erlauben
|
0 - Niedrigste
|
Ausgehend
|
IP
|
TCP
|
Alle
|
Alle
|
Alle
|
443
|
|
K8s ausgehender TCP-Port 6443
|
Erzwingen erlauben
|
0 - Niedrigste
|
Eingehend
|
IP
|
TCP
|
Alle
|
Alle
|
Alle
|
6443
|
|
K8s ausgehender TCP-Port 6443
|
Erzwingen erlauben
|
0 - Niedrigste
|
Ausgehend
|
IP
|
TCP
|
Alle
|
Alle
|
Alle
|
6443
|
|
K8s ausgehender TCP-Port 8081
|
Erzwingen erlauben
|
0 - Niedrigste
|
Eingehend
|
IP
|
TCP
|
Alle
|
Alle
|
Alle
|
8081
|
|
K8s ausgehender TCP-Port 8081
|
Erzwingen erlauben
|
0 - Niedrigste
|
Ausgehend
|
IP
|
TCP
|
Alle
|
Alle
|
Alle
|
8081
|
|
K8s ausgehender UDP-Port 8472
|
Erzwingen erlauben
|
0 - Niedrigste
|
Ausgehend
|
IP
|
UDP
|
Alle
|
Alle
|
Alle
|
8472
|
|
K8s ausgehender UDP-Port 8285
|
Erzwingen erlauben
|
0 - Niedrigste
|
Ausgehend
|
IP
|
UDP
|
Alle
|
Alle
|
Alle
|
8285
|
|
K8s ausgehender UDP-Port 8285
|
Erzwingen erlauben
|
0 - Niedrigste
|
Eingehend
|
IP
|
UDP
|
Alle
|
Alle
|
Alle
|
8285
|
Swarm-Firewall-Regeln
Wenn Sie Swarm verwenden, fügen Sie die folgenden Regeln hinzu, um den k8s-Kommunikationsverkehr
zu übergehen und den Dienstverkehr zu exportieren:
|
Name
|
Aktionstyp
|
Priorität
|
Richtung
|
Rahmentyp
|
Protokoll
|
Quell-IP
|
Quellport
|
Ziel-IP
|
Zielport
|
|
HTTP eingehender TCP 80 Zielport
|
Erzwingen erlauben
|
0 - Niedrigste
|
Eingehend
|
IP
|
TCP
|
Alle
|
N/A
|
Alle
|
80
|
|
HTTP ausgehender TCP 80 Quellport
|
Erzwingen erlauben
|
0 - Niedrigste
|
Ausgehend
|
IP
|
TCP
|
Alle
|
80
|
Alle
|
Alle
|
|
Swarm ausgehender TCP-Port 443
|
Erzwingen erlauben
|
0 - Niedrigste
|
Ausgehend
|
IP
|
TCP
|
Alle
|
Alle
|
Alle
|
443
|
|
Schwarm eingehende TCP 2377, 4789, 7946, 60012 Port
|
Erzwingen erlauben
|
0 - Niedrigste
|
Eingehend
|
IP
|
TCP+UDP
|
Alle
|
Alle
|
Alle
|
2377, 4789, 7946, 60012
|
|
Swarm ausgehende TCP 2377, 4789, 7946, 60012 Port
|
Erzwingen erlauben
|
0 - Niedrigste
|
Ausgehend
|
IP
|
TCP+UDP
|
Alle
|
2377, 4789, 7946, 60012
|
Alle
|
Alle
|