и теперь не понимаю как не сломать правила k8s, если я хочу прикрыть порты, торчащие на внешних адресах и не потерять кластер.
у меня по старинке. скриптик генерит цепочку в которой allow from src ip в цепочку отправляется трафик из INPUT с —dst-port. все. Плюс по крону проверяю, что правила в наличии ))) а то любителей сделать itpables -F дофига а по уму то конечно надо бы с Firewalld разбираться, но лень.
У меня puppet, явно задал игнорировние правил по определенным регуляркам, которые матчат правила куба. Остальное все контролирует и удаляет если оно не описано в IaC. Думаю в ansible тоже самое можно. А порты прикрываю в отдельной цепочке, которая вставляется в INPUT как последнее правило
Обсуждают сегодня