在 GCP 上,我们在运行应用程序的 Kubernetes 集群前使用面向互联网的 TCP 负载均衡器。TCP 负载均衡器配置为转发端口 80 和 443,显然是 TCP。
我们的安全部门最近对我们的应用程序进行了漏洞扫描,显然检测到负载均衡器 IP 地址上的 UDP 端口 1900 已打开。我确信负载均衡器后面的应用程序不会监听 UDP 端口 1900 或任何 UDP 端口。
有人在面向 GCP TCP 负载均衡器的互联网上看到过这样的开放 UDP 端口吗?这有什么原因或解释吗?不幸的是,我还没有找到有关此问题的任何文档或讨论,这让我很困惑。如果能提供任何建议,我将不胜感激。
问候
答案1
但是,GCP 负载均衡器需要打开一些端口才能正常工作文档只是说有些必须对其他 Google 服务开放。
外部 HTTP(S) 负载均衡器有许多开放端口,用于支持在同一架构上运行的其他 Google 服务。如果您针对 Google Cloud 外部 HTTP(S) 负载均衡器的外部 IP 地址运行安全或端口扫描,则其他端口似乎处于开放状态。
您可以尝试创建自己的防火墙规则来阻止这些端口,但是:
- 它可能会在没有任何消息/警告的情况下自动删除
- 负载平衡器可能停止正常工作
您仍然有可能阻止这些操作,并且一切都会按照您的情况正常进行。
不幸的是,我还是无法找出哪些服务正在使用哪些端口。