GCP Kubernetes：入口和外部負載均衡器，帶有 IAP 大量開放端口掃描 nmap

Question

我有一個 k8s 集群，在 Ingress 后面運行一個服務，帶有一個外部 HTTPS 負載均衡器，並且我有身份感知代理來保護我的系統。 入口有一個公共 IP ，當我用 nmap 掃描它時，我看到以下開放端口：

PORT      STATE SERVICE
43/tcp    open  whois
53/tcp    open  domain
80/tcp    open  http
83/tcp    open  mit-ml-dev
84/tcp    open  ctf
85/tcp    open  mit-ml-dev
89/tcp    open  su-mit-tg
110/tcp   open  pop3
143/tcp   open  imap
443/tcp   open  https
465/tcp   open  smtps
587/tcp   open  submission
700/tcp   open  epp
993/tcp   open  imaps
995/tcp   open  pop3s
1084/tcp  open  ansoft-lm-2
1085/tcp  open  webobjects
1089/tcp  open  ff-annunc
1443/tcp  open  ies-lm
1935/tcp  open  rtmp
3389/tcp  open  ms-wbt-server
5222/tcp  open  xmpp-client
5432/tcp  open  postgresql
5900/tcp  open  vnc
5901/tcp  open  vnc-1
5999/tcp  open  ncd-conf
8080/tcp  open  http-proxy
8081/tcp  open  blackice-icecap
8085/tcp  open  unknown
8086/tcp  open  d-s-n
8088/tcp  open  radan-http
8089/tcp  open  unknown
8090/tcp  open  opsmessaging
8099/tcp  open  unknown
9100/tcp  open  jetdirect
9200/tcp  open  wap-wsp
20000/tcp open  dnp
30000/tcp open  ndmps

我的問題是為什么所有這些端口都打開，它是否從 IAP 打開，如果是這樣，這就是為什么我能夠在沒有身份驗證的情況下掃描似乎是 Ingress IP 的東西，最終我可以關閉除 HTTP/S 端口之外的所有端口為了安全？ 如果是 IAP，也許這些需要開放，以便為可能可用但不在我的集群中的不同服務轉發不同的流量； 這能解釋這個嗎？

任何提示都會很可愛，我已經 RTFMed 並且關於 Ingress 的所有內容似乎都指向它只接受 HTTP/S 流量並轉發到服務/部署。 這個 IAP 是讓這些端口處於打開狀態還是真的在 Ingress 上？ 它是與 Ingress 關聯的 IP 地址。 我是否需要向我的集群添加 FrontendConfig 來配置 Ingress 以關閉這些端口？

提前致謝！

Answer 1

我收到了 Google Cloud Platform 出色支持團隊的回復。 謝謝谷歌。 他們證實了我的假設，即這些端口對各種潛在服務開放，但我們的配置只允許我們向后端請求的內容。 將其留在 stackoverflow 中，以防其他人需要此信息。

客戶端使用您的 Kubernetes 負載均衡器的外部 IP 地址與 Google 前端 (GFE) 通信，而 GFE 使用內部 ZA12A3079E14CED46E69BA52B8A90B 地址與您的后端服務通信。 GFE 實際上將流量轉發到后端實例 [ 1 ]。 每個 GFE 實際上都作為代理提供內容，而不是您的配置 [ 2 ] 的一部分。

每個 GFE 作為其整體安全設計 [ 3 ] 的一部分為許多客戶提供流量，並且您的 Kubernetes 負載平衡的外部 IP 地址在全球許多共享 GFE 服務器上進行編程。 由於 GFE 不是您或您的負載均衡器配置所獨有的，它還接受其他 TCP 端口上的流量。 但是，其他端口上到 GFE 的傳入流量不會發送到您的后端。 這樣，GFE 僅通過對您配置的端口的請求采取行動來保護您的實例 - 即使它正在偵聽更多。

因此，您會看到比預期更多的端口打開。

您可以在此處閱讀有關此行為的更多信息 [ 4 ]。