#前3行表示bridge设备在二层转发时也去调用iptables配置的三层规则（包含 conntrack） # sysctl -p #加载配置 ⑧防火墙放行端口 TCP: 6443，2379，2380，10250~10252，30000~32767 UDP: 8285，8472 ★最好是允许整个k8s的node网段以及pod网段入站 # firewall-cmd firewall-cmd --run�me-to-permanent # firewall-cmd --list-all ★如果有硬件交换机做ACL或基于云的安全组做访问控制，则可关闭服务器上的 防火墙软件 ⑨加载ipvs模块 # cat > /etc/modules-load.d/k8s-ipvs.conf <防火墙规则，导致pod网络不通 # vi /usr/lib/systemd/system/docker.service #在[Service]下的ExecStart=/usr/bin/dockerd -H

Duty 等产品中部署云原生安全组件；微软推出 Microsoft Defender for cloud 并持续更新云原生安全组件，为云原生安全提供 一体化保护平台；阿里云上线云安全中心、Web 应用防火墙等多个 云计算白皮书（2023 年） 8 云原生安全服务。安全厂商方面，多维度聚焦云原生安全产品建设。 随着云原生安全市场的扩张，传统安全厂商开始大规模转向云原生 安全产品建设，云原生安全初创厂商不断涌现。Palo 在容器 防护、API 安全等领域推出了 Cloud One、Deep Security 等产品； Fortinet 推出整套云原生保护策略，包含云原生安全态势管理、 DevSecOps、云原生防火墙等。初创安全厂商 Lacework 凭借其在云 原生应用保护、容器安全等领域的云原生安全产品，已获得近 20 亿 美元风险投资。此外，在素有“全球网络风向标”之称的 RSAC 沙 盒大赛十强中

Pod Master API Server Pod Master API Server Pod Kubernetes 典型异常 网络异常 • 安全组、路由表配置错误 • 节点防火墙软件等修改 iptables、内核参数 • 网络链路长，手动排查成本高 异常影响 • 应用间无法正常通信 • 集群内 Controller 无法正常工作 YUM 安装自动运维工具 自动安装依赖

202.114.193.102 k8s-node2 202.114.193.103 k8s-node3 202.114.193.104 k8s-node4 Step3. 禁用防火墙 systemctl stop firewalld systemctl disable firewalld Step4. 关闭 selinux setenforce 0 sed

仍是我们感兴趣的基础设施测试工具。它是一个 Golang 库，用来简化基础设施代码的自动化测试编 写。通过基础设施即代码的工具，例如 Terraform，你可以创建真实的基础设施组件（如服务器、防火墙或负 载均衡器），在它们之上部署应用程序，并使用 Terratest 验证预期的行为。在测试结束后，Terratest 可以取消 应用的部署并清理资源。我们的团队们认为这种测试基础设施组件的方式有助于提供对基础设施即代码的自信。