kube-proxy
NodePort 监听特定的接口
默认情况下kube-proxy生成的nodeport端口监听在0.0.0.0上。这样可能会带来一些问题。 比如: 在kubeadm搭建的kubernetes集群中使用ipvs,会造成使用svcIP+nodeport端口可以访问到nodeport映射的服务。让我们误以为svcIP转发了这个请求。实际上请求是进入了nodeport的端口。
使用 --nodeport-addresses 标志(仅适用于 Kubernetes 版本 1.19 及更高版本):您可以通过在 kube-proxy 的启动参数中添加 --nodeport-addresses=<interface> 来指定要监听的特定接口。
将 替换为您希望 kube-proxy 监听的接口的名称或 IP 地址。
例如,如果您希望 kube-proxy 监听在名为 eth0 的接口上,您可以使用以下命令启动 kube-proxy:
kube-proxy --nodeport-addresses=eth0
这样svcIP+nodeport端口将无法访问。
评论区