[英]GCP Kubernetes: Ingress and external load balancer with IAP lots of open ports scanning nmap
我有一個 k8s 集群,在 Ingress 后面運行一個服務,帶有一個外部 HTTPS 負載均衡器,並且我有身份感知代理來保護我的系統。 入口有一個公共 IP ,當我用 nmap 掃描它時,我看到以下開放端口:
PORT STATE SERVICE
43/tcp open whois
53/tcp open domain
80/tcp open http
83/tcp open mit-ml-dev
84/tcp open ctf
85/tcp open mit-ml-dev
89/tcp open su-mit-tg
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp open smtps
587/tcp open submission
700/tcp open epp
993/tcp open imaps
995/tcp open pop3s
1084/tcp open ansoft-lm-2
1085/tcp open webobjects
1089/tcp open ff-annunc
1443/tcp open ies-lm
1935/tcp open rtmp
3389/tcp open ms-wbt-server
5222/tcp open xmpp-client
5432/tcp open postgresql
5900/tcp open vnc
5901/tcp open vnc-1
5999/tcp open ncd-conf
8080/tcp open http-proxy
8081/tcp open blackice-icecap
8085/tcp open unknown
8086/tcp open d-s-n
8088/tcp open radan-http
8089/tcp open unknown
8090/tcp open opsmessaging
8099/tcp open unknown
9100/tcp open jetdirect
9200/tcp open wap-wsp
20000/tcp open dnp
30000/tcp open ndmps
我的問題是為什么所有這些端口都打開,它是否從 IAP 打開,如果是這樣,這就是為什么我能夠在沒有身份驗證的情況下掃描似乎是 Ingress IP 的東西,最終我可以關閉除 HTTP/S 端口之外的所有端口為了安全? 如果是 IAP,也許這些需要開放,以便為可能可用但不在我的集群中的不同服務轉發不同的流量; 這能解釋這個嗎?
任何提示都會很可愛,我已經 RTFMed 並且關於 Ingress 的所有內容似乎都指向它只接受 HTTP/S 流量並轉發到服務/部署。 這個 IAP 是讓這些端口處於打開狀態還是真的在 Ingress 上? 它是與 Ingress 關聯的 IP 地址。 我是否需要向我的集群添加 FrontendConfig 來配置 Ingress 以關閉這些端口?
提前致謝!
我收到了 Google Cloud Platform 出色支持團隊的回復。 謝謝谷歌。 他們證實了我的假設,即這些端口對各種潛在服務開放,但我們的配置只允許我們向后端請求的內容。 將其留在 stackoverflow 中,以防其他人需要此信息。
客戶端使用您的 Kubernetes 負載均衡器的外部 IP 地址與 Google 前端 (GFE) 通信,而 GFE 使用內部 ZA12A3079E14CED46E69BA52B8A90B 地址與您的后端服務通信。 GFE 實際上將流量轉發到后端實例 [ 1 ]。 每個 GFE 實際上都作為代理提供內容,而不是您的配置 [ 2 ] 的一部分。
每個 GFE 作為其整體安全設計 [ 3 ] 的一部分為許多客戶提供流量,並且您的 Kubernetes 負載平衡的外部 IP 地址在全球許多共享 GFE 服務器上進行編程。 由於 GFE 不是您或您的負載均衡器配置所獨有的,它還接受其他 TCP 端口上的流量。 但是,其他端口上到 GFE 的傳入流量不會發送到您的后端。 這樣,GFE 僅通過對您配置的端口的請求采取行動來保護您的實例 - 即使它正在偵聽更多。
因此,您會看到比預期更多的端口打開。
您可以在此處閱讀有關此行為的更多信息 [ 4 ]。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.