如果您使用版本 11.2+ 的代理來保護使用疊加網路的容器,您可能需要添加一些防火牆規則以允許 Swarm 或 Kubernetes 服務的網路流量,因為預設的防火牆規則會封鎖該流量。
Kubernetes 防火牆規則
如果您正在使用 Kubernetes,請添加以下規則以繞過 k8s 通信流量和導出服務流量:
|
名稱
|
動作類型
|
優先順序
|
方向
|
框架類型
|
通訊協定
|
來源 IP
|
來源通訊埠
|
目標 IP
|
目標通訊埠
|
|
HTTP 進入 TCP 80 目標通訊埠
|
強制允許
|
0 - 最低
|
傳入
|
IP
|
TCP
|
任何
|
不適用
|
任何
|
80
|
|
HTTP 外發 TCP 80 來源通訊埠
|
強制允許
|
0 - 最低
|
外寄
|
IP
|
TCP
|
任何
|
80
|
任何
|
任何
|
|
K8s 傳入 TCP 10054 埠
|
強制允許
|
0 - 最低
|
傳入
|
IP
|
TCP
|
任何
|
任何
|
任何
|
10054
|
|
K8s 出站 TCP 10054 埠
|
強制允許
|
0 - 最低
|
外寄
|
IP
|
TCP
|
任何
|
任何
|
任何
|
10054
|
|
K8s 出站 TCP 443 埠
|
強制允許
|
0 - 最低
|
外寄
|
IP
|
TCP
|
任何
|
任何
|
任何
|
443
|
|
K8s 出站 TCP 6443 埠
|
強制允許
|
0 - 最低
|
傳入
|
IP
|
TCP
|
任何
|
任何
|
任何
|
6443
|
|
K8s 出站 TCP 6443 埠
|
強制允許
|
0 - 最低
|
外寄
|
IP
|
TCP
|
任何
|
任何
|
任何
|
6443
|
|
K8s 出站 TCP 8081 埠
|
強制允許
|
0 - 最低
|
傳入
|
IP
|
TCP
|
任何
|
任何
|
任何
|
8081
|
|
K8s 出站 TCP 8081 埠
|
強制允許
|
0 - 最低
|
外寄
|
IP
|
TCP
|
任何
|
任何
|
任何
|
8081
|
|
K8s 出站 UDP 8472 埠
|
強制允許
|
0 - 最低
|
外寄
|
IP
|
UDP
|
任何
|
任何
|
任何
|
8472
|
|
K8s 出站 UDP 8285 埠
|
強制允許
|
0 - 最低
|
外寄
|
IP
|
UDP
|
任何
|
任何
|
任何
|
8285
|
|
K8s 出站 UDP 8285 埠
|
強制允許
|
0 - 最低
|
傳入
|
IP
|
UDP
|
任何
|
任何
|
任何
|
8285
|
Swarm 防火牆規則
如果您正在使用 Swarm,請添加以下規則以繞過 k8s 通信流量和導出服務流量:
|
名稱
|
動作類型
|
優先順序
|
方向
|
框架類型
|
通訊協定
|
來源 IP
|
來源通訊埠
|
目標 IP
|
目標通訊埠
|
|
HTTP 進入 TCP 80 目標通訊埠
|
強制允許
|
0 - 最低
|
傳入
|
IP
|
TCP
|
任何
|
不適用
|
任何
|
80
|
|
HTTP 外發 TCP 80 來源通訊埠
|
強制允許
|
0 - 最低
|
外寄
|
IP
|
TCP
|
任何
|
80
|
任何
|
任何
|
|
Swarm 出站 TCP 443 埠
|
強制允許
|
0 - 最低
|
外寄
|
IP
|
TCP
|
任何
|
任何
|
任何
|
443
|
|
Swarm 進入 TCP 2377、4789、7946、60012 埠
|
強制允許
|
0 - 最低
|
傳入
|
IP
|
TCP+UDP
|
任何
|
任何
|
任何
|
2377, 4789, 7946, 60012
|
|
Swarm 出站 TCP 2377、4789、7946、60012 埠
|
強制允許
|
0 - 最低
|
外寄
|
IP
|
TCP+UDP
|
任何
|
2377, 4789, 7946, 60012
|
任何
|
任何
|