本發明公開了一種基于Kubernetes集群的批量端口配置方法、裝置及設備，涉及集群信息領域。所述方法首先循環遍歷K8S集群的所有節點IP及對應的端口規則；然后判斷是否需要添加或者刪除臨時生效的端口規則，若是，則添加臨時生效的端口規則并將端口規則寫入配置文件iptables中，或者刪除臨時生效的端口規則并刪除配置文件iptables中對應的端口規則；接下來檢驗節點上添加的端口規則是否生效或者端口規則是否刪除成功。本申請一方面利用iptables?services軟件管理端口規則，有效解決了服務器重啟導致端口規則丟失的問題；另一方面利用iptables直接配置端口規則使規則臨時生效，避免了重啟iptables?services服務使規則生效的方式給集群帶來的風險；并且通過檢驗有效避免了添加或者刪除端口規則失敗的問題。

技術領域

本發明實施例涉及集群信息領域，具體來說涉及一種基于Kubernetes集群的批量端口配置方法、裝置及設備。

背景技術

Kubernetes，簡稱K8S，是一個開源的、用于管理云平臺中多個主機上的容器化的應用。在大多數實際生產環境中一個K8S集群往往有多個節點組成，集群內部存在大量的IP地址和服務端口，這時為了集群的安全性考慮，往往會增加防火墻設置，對集群內的服務端口及IP進行限制，只允許集群內的節點相互訪問。目前，linux操作系統下常用的管理防火墻配置的軟件有firewalld和iptables。如果將linux內部結構分為三部分的話，從最底層到最上層依次是：硬件-內核空間-用戶空間，而iptables和firewalld都是在用戶空間中管理和維護規則，只不過規則結構和使用方法不一樣，真正利用規則進行過濾是由內核的netfilter完成的。netfilter是免費的包過濾引擎，由一些數據包過濾表組成，這些表包含內核用來控制信息包過濾的規則集。iptables等都是在用戶空間修改過濾表規則的便捷工具，它可以代替昂貴的商業防火墻解決方案，完成封包過濾、封包重定向和網絡地址轉換等功能。但是無論firewalld還是iptables軟件在配置端口規則的過程中都會有不同的問題存在。

首先，由于不同的防火墻軟件相互之間存在沖突，使用某個時應禁用其他軟件，而firewalld一旦開啟，會禁止所有的端口訪問該服務器，給軟件的開發和部署帶來很大的不變，并且使用firewalld軟件管理端口規則時，每次添加或者刪除時都需要一定的等待時間，如果遇到較多的端口需要管理時，耗時較長，因此，軟件開發過程中常常把fireawlld防火墻禁用掉，而改用iptables軟件管理端口規則。其次，通過iptables管理端口限制規則時，如果直接使用命令行進行添加或刪除端口規則時，服務器重啟后端口規則會丟失，并且連續不等待添加規則會出現添加失敗的情況。雖然能夠通過iptables-services組件配合iptables共同管理端口規則，將端口規則寫進iptables-services服務的配置文件后并重啟該組件，能解決服務器重啟后規則丟失問題，但是每次重啟iptables-services服務時，假如集群內docker服務已經啟動，docker會自動接管iptables，在docker run的時候，會自動往iptables里加入規則，這時重啟iptables-services服務會導致docker的路由規則丟失，進而影響harbor鏡像倉庫的使用，重啟docker服務才能恢復路由規則。最后，實際生產環境中一個K8S集群時常需要進行擴縮容集群的節點以滿足業務需求，此時整個集群內docker服務都處于運行狀態，新添加節點的IP及服務端口需要在管理節點上新增端口規則，以保證管理節點能夠正常管理該計算節點，如果重啟docker服務可能會導致正在運行的容器服務突然停止，對整個K8S集群服務造成極大的影響。

發明內容

本發明實施例提供了一種基于Kubernetes集群的批量端口配置方法、裝置及設備，使用iptables和iptables-services共同管理的方式，保障了K8S集群的安全性，有效避免了配置端口規則過程中造成的集群風險問題。

為實現上述目的，本發明公開了如下技術方案：