Я пытаюсь установить кластер Kubernetes на свой сервер (Debian 10). На своем сервере я использовал ufw в качестве брандмауэра. Перед созданием кластера я разрешил эти порты в ufw:
179 / TCP, 4789 / UDP, 5473 / TCP, 443 / TCP, 6443 / TCP, 2379 / TCP, 4149 / TCP, 10250 / TCP, 10255 / TCP, 10256 / TCP, 9099 / TCP, 6443 / TCP
Как следует из документа calico (https://docs.projectcalico.org/getting-started/kubernetes/requirements), а также этот репозиторий git о безопасности kubernetes (https://github.com/freach/kubernetes-security-best-practice).
Но когда я хочу создать кластер, модуль calico / node не может запуститься, потому что Феликс не работает (я разрешил 9099 / tcp в ufw):
Ошибка проверки живучести: calico / node не готов: Феликс не работает: получить http://localhost:9099/liveness: dial tcp [:: 1]: 9099: connect: соединение отклонено
Если я отключу ufw, кластер будет создан и ошибки нет.
Поэтому я хотел бы знать, как мне настроить ufw, чтобы кубернеты работали. Если бы кто-нибудь мог мне помочь, было бы очень здорово, спасибо!
Изменить: мой статус ufw
To Action From
6443/tcp ALLOW Anywhere
9099 ALLOW Anywhere
179/tcp ALLOW Anywhere
4789/udp ALLOW Anywhere
5473/tcp ALLOW Anywhere
2379/tcp ALLOW Anywhere
8181 ALLOW Anywhere
8080 ALLOW Anywhere
###### (v6) LIMIT Anywhere (v6) # allow ssh connections in
Postfix (v6) ALLOW Anywhere (v6)
KUBE (v6) ALLOW Anywhere (v6)
6443 (v6) ALLOW Anywhere (v6)
6783/udp (v6) ALLOW Anywhere (v6)
6784/udp (v6) ALLOW Anywhere (v6)
6783/tcp (v6) ALLOW Anywhere (v6)
443/tcp (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)
4149/tcp (v6) ALLOW Anywhere (v6)
10250/tcp (v6) ALLOW Anywhere (v6)
10255/tcp (v6) ALLOW Anywhere (v6)
10256/tcp (v6) ALLOW Anywhere (v6)
9099/tcp (v6) ALLOW Anywhere (v6)
6443/tcp (v6) ALLOW Anywhere (v6)
9099 (v6) ALLOW Anywhere (v6)
179/tcp (v6) ALLOW Anywhere (v6)
4789/udp (v6) ALLOW Anywhere (v6)
5473/tcp (v6) ALLOW Anywhere (v6)
2379/tcp (v6) ALLOW Anywhere (v6)
8181 (v6) ALLOW Anywhere (v6)
8080 (v6) ALLOW Anywhere (v6)
53 ALLOW OUT Anywhere # allow DNS calls out
123 ALLOW OUT Anywhere # allow NTP out
80/tcp ALLOW OUT Anywhere # allow HTTP traffic out
443/tcp ALLOW OUT Anywhere # allow HTTPS traffic out
21/tcp ALLOW OUT Anywhere # allow FTP traffic out
43/tcp ALLOW OUT Anywhere # allow whois
SMTPTLS ALLOW OUT Anywhere # open TLS port 465 for use with SMPT to send e-mails
10.32.0.0/12 ALLOW OUT Anywhere on weave
53 (v6) ALLOW OUT Anywhere (v6) # allow DNS calls out
123 (v6) ALLOW OUT Anywhere (v6) # allow NTP out
80/tcp (v6) ALLOW OUT Anywhere (v6) # allow HTTP traffic out
443/tcp (v6) ALLOW OUT Anywhere (v6) # allow HTTPS traffic out
21/tcp (v6) ALLOW OUT Anywhere (v6) # allow FTP traffic out
43/tcp (v6) ALLOW OUT Anywhere (v6) # allow whois
SMTPTLS (v6) ALLOW OUT Anywhere (v6) # open TLS port 465 for use with SMPT to send e-mails
Извините, мои правила ufw немного запутаны, я перепробовал слишком много вещей, чтобы кубернеты заработали.
uwf status
, чтобы мы могли просматривать активные правила и проверять каждый шаг. Возможно, это опечатка, но ошибка подразумевает правило, которое ее блокирует. - person Will R.O.F.   schedule 01.04.2020ufw status
в исходном посте. Также я уже видел проблему, о которой вы упомянули, но это не помогло мне в ситуации. - person pchmn   schedule 01.04.2020