centos k8s安装后如何设置防火墙

CentOS K8s安装后防火墙设置指南

1. 关闭SELinux（K8s要求）

SELinux会限制容器进程的权限，导致K8s组件无法正常通信。需永久关闭SELinux：

setenforce 0  # 临时关闭
sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config  # 永久关闭

2. 处理Firewalld与iptables冲突

K8s依赖iptables进行网络规则管理，若同时启用firewalld可能导致规则冲突。推荐方案：

• 方案一：关闭firewalld（简单场景适用）

  systemctl stop firewalld && systemctl disable firewalld  # 停止并禁用
  

• 方案二：保留firewalld并配置K8s所需端口（生产环境推荐）
  若需保留firewalld，需开放K8s核心组件的通信端口（Master节点需全部开放，Node节点开放对应端口）：

  firewall-cmd --permanent --add-port=6443/tcp       # K8s API Server端口
  firewall-cmd --permanent --add-port=2379-2380/tcp  # etcd集群通信端口
  firewall-cmd --permanent --add-port=10250/tcp      # kubelet端口
  firewall-cmd --permanent --add-port=10251/tcp      # kube-scheduler端口
  firewall-cmd --permanent --add-port=10252/tcp      # kube-controller-manager端口
  firewall-cmd --permanent --add-port=10255/tcp      # kubelet只读端口
  firewall-cmd --reload  # 重新加载规则
  

3. 配置iptables为空规则（可选但推荐）

若使用iptables作为防火墙工具，需清空现有规则以避免干扰K8s网络：

yum install -y iptables-services  # 安装iptables服务
systemctl start iptables && systemctl enable iptables  # 启动并开机自启
iptables -F  # 清空所有规则
service iptables save  # 保存规则

4. 调整内核参数支持K8s网络

K8s需要开启IP转发、桥接流量调用iptables等功能，需修改内核参数：

cat <<EOF > /etc/sysctl.d/k8s.conf
net.bridge.bridge-nf-call-iptables=1  # 桥接流量调用iptables
net.bridge.bridge-nf-call-ip6tables=1 # IPv6桥接流量调用ip6tables
net.ipv4.ip_forward=1                 # 开启IP转发
EOF
sysctl --system  # 生效配置

5. 验证防火墙设置

• 检查firewalld状态：systemctl status firewalld（应为inactive）
• 检查iptables规则：iptables -L -n（应无冲突规则）
• 测试K8s组件通信：通过kubectl get nodes验证Master与Node节点是否正常通信。

注意事项

• 生产环境建议：若需保留firewalld，需确保仅开放K8s必需端口，并避免频繁修改规则影响集群稳定性。
• 网络插件兼容性：部分网络插件（如Calico）可能需要额外防火墙规则，需参考插件文档补充配置。