Это нормально, что Flanneld прослушивает общедоступный интерфейс порта udp 8472?

С точки зрения безопасности это нормально, что flanneld слушает на общедоступном интерфейсе udp порт 8472?

Обычно kubernetes узлы живут в облаке, скрыты за десятками межсетевых экранов, они в основном работают в своей локальной виртуальной сети и открывают порты для общего доступа, только если администратор одобряет их вручную.

Но здесь у меня есть bare-metal сервер, который напрямую подключен к Интернету, и я не уверен, стоит ли добавлять правила брандмауэра для блокировки подключений извне (по умолчанию fw политика ACCEPT).

Например, я настроил etcd3 прослушивать клиентские соединения на 127.0.0.1Кроме того, клиенты должны аутентифицировать себя с tls сертификаты. тем не мение flannel Кажется, не имеет никакого механизма аутентификации / авторизации.

Я это понимаю flanneld работает на транспортном уровне. Поэтому у него есть информация из предыдущего. Так будет ли попытаться сбросить любое соединение с IP-адресов, которые не находятся в etcd?

На данный момент мое последнее намерение заключается в создании одного узла kubernetes "Кластер".