安裝Kubernetes為什么要關(guān)閉防火墻？除了部署k8s，許多公司在安裝過程中直接關(guān)閉swap、SELinux和防火墻SELinux，這是一個(gè)用于增強(qiáng)安全性的組件，但它非常容易出錯(cuò)，而且很難定位。通

安裝Kubernetes為什么要關(guān)閉防火墻？

除了部署k8s，許多公司在安裝過程中直接關(guān)閉swap、SELinux和防火墻

SELinux，這是一個(gè)用于增強(qiáng)安全性的組件，但它非常容易出錯(cuò)，而且很難定位。通常，在安裝系統(tǒng)后，我們會禁用

iptables防火墻，它將過濾和轉(zhuǎn)發(fā)所有網(wǎng)絡(luò)流量。如果是內(nèi)網(wǎng)的機(jī)器，會直接關(guān)閉它，省去了對網(wǎng)絡(luò)性能的影響，但是k8s不能直接關(guān)閉，k8s是用防火墻做IP轉(zhuǎn)發(fā)和修改的，當(dāng)然也要看網(wǎng)絡(luò)模式的使用，如果網(wǎng)絡(luò)模式不需要防火墻也可以直接關(guān)閉

交換，當(dāng)內(nèi)存不足，Linux會自動使用交換，部分內(nèi)存數(shù)據(jù)存儲在磁盤上，這樣會提高性能，我是研華西安分公司的技術(shù)總監(jiān)。目前，我們正在建設(shè)和開發(fā)物聯(lián)網(wǎng)k8s云平臺。讓我回答你的問題。

k8s不處理特定的網(wǎng)絡(luò)問題。實(shí)際上，它不能考慮不同的網(wǎng)絡(luò)需求和實(shí)現(xiàn)。K8s提出CNI標(biāo)準(zhǔn)，不同廠商根據(jù)自身需求以插件的形式實(shí)現(xiàn)特定的網(wǎng)絡(luò)設(shè)施。目前比較流行的插件有：calico:calico將每個(gè)k8s主機(jī)模擬成一個(gè)路由器，在其上運(yùn)行BGP路由協(xié)議，實(shí)現(xiàn)k8s主機(jī)之間的通信，因此控制更加靈活，可以實(shí)現(xiàn)對網(wǎng)絡(luò)安全的管理。目前，這個(gè)插件正在我們的集群中使用。Calico的架構(gòu)如下：

canal:我還沒有了解這個(gè)插件，研究過的朋友可以補(bǔ)充一下

K8s網(wǎng)絡(luò)問題自己能解決嗎？

，任何服務(wù)器都是一樣的。

你知道，服務(wù)器暴露在公共網(wǎng)絡(luò)中，黑客總是在尋找攻擊目標(biāo)。一般來說，中小企業(yè)的服務(wù)器托管沒有配備硬件防火墻（硬防御）。此時(shí)，如果系統(tǒng)本身的軟件防火墻（軟防御）不開啟，風(fēng)險(xiǎn)無疑會更大。

當(dāng)我們在CentOS上打開iptables或firewalld時(shí)，我們可以通過它實(shí)現(xiàn)一些與網(wǎng)絡(luò)相關(guān)的安全保護(hù)，例如：

在很大程度上，它可以降低風(fēng)險(xiǎn)。比如redis的6379端口，如果你允許上網(wǎng)，redis不開賬戶授權(quán)，就很容易被授權(quán)；]；

，其他人不能Ping服務(wù)器；

端口轉(zhuǎn)發(fā)等

如果你不打開軟防御，就意味著你的大門是對外開放的，任何人都可以自由進(jìn)出。因此，考慮到安全性，需要進(jìn)行必要的保護(hù)，否則服務(wù)器受到攻擊只是時(shí)間問題。

CentOS7一定要關(guān)閉防火墻嗎？

微服務(wù)在Docker k8s下如何部署？

這些技術(shù)最近已經(jīng)在項(xiàng)目中使用。讓我扔塊磚頭引玉。

首先，結(jié)論如下：

1。K8s是一款非常好的技術(shù)，非常穩(wěn)定。如果發(fā)現(xiàn)正在運(yùn)行的pod數(shù)量不等于用戶設(shè)置的期望值，k8s將自動創(chuàng)建或刪除pod，直到它們相等為止。這不僅確保了服務(wù)的不間斷運(yùn)行，而且還動態(tài)地?cái)U(kuò)展了服務(wù)規(guī)范。用戶只需要調(diào)整pod的復(fù)制次數(shù)，剩下的留給k8s，這很容易讓人擔(dān)心。

2. 使用Jenkins集成命令行操作，雖然我個(gè)人比較喜歡使用命令行，但我不得不承認(rèn)，使用Jenkins集成命令行操作將大大提高工作效率。

實(shí)現(xiàn)步驟如下：（本文以Azure平臺為例）

1。寫dockerfile

2。在Jenkins中創(chuàng)建任務(wù)并執(zhí)行包含以下命令的腳本

2.1 git將源代碼拉到本地

2.2 docker build命令生成映像文件

2.3 docker定義映像文件版本號并上載到Azure平臺

2.4 kubectl命令創(chuàng)建k8s部署和服務(wù)。

每個(gè)版本2.5update，可以調(diào)用update image來編譯新的鏡像版本并提供給k8s

注意，在創(chuàng)建k8s的部署和服務(wù)時(shí)，需要用yaml格式編寫配置文件。部署配置包括名稱、映像文件地址、最大和最小CPU分配值、最大和最小內(nèi)存分配值等。服務(wù)配置文件包括名稱、引用的部署名稱以及是否使用負(fù)載平衡器。

有關(guān)更多詳細(xì)信息，請參閱我的wikihttps://github.com/FamingHou/MyWiki

邁克菲如何關(guān)閉防火墻？

1. 首先，您需要在計(jì)算機(jī)中打開導(dǎo)航，然后在導(dǎo)航中找到防火墻；

2。界面顯示防火墻已打開，然后單擊關(guān)閉，記住不要單擊還原默認(rèn)值；

3。然后界面會提示是否關(guān)閉防火墻，此時(shí)，在下面的選項(xiàng)中單擊never，然后單擊close；

4。最重要的是，后臺界面將顯示防火墻已關(guān)閉。單擊“完成”。