外部 HTTPS ロード バランサーを使用して Ingress の背後でサービスを実行している k8s クラスターがあり、システムを保護する ID 認識プロキシがあります。イングレスにはパブリック IP があり、nmap でスキャンすると、次の開いているポートが表示されます。
PORT STATE SERVICE
43/tcp open whois
53/tcp open domain
80/tcp open http
83/tcp open mit-ml-dev
84/tcp open ctf
85/tcp open mit-ml-dev
89/tcp open su-mit-tg
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp open smtps
587/tcp open submission
700/tcp open epp
993/tcp open imaps
995/tcp open pop3s
1084/tcp open ansoft-lm-2
1085/tcp open webobjects
1089/tcp open ff-annunc
1443/tcp open ies-lm
1935/tcp open rtmp
3389/tcp open ms-wbt-server
5222/tcp open xmpp-client
5432/tcp open postgresql
5900/tcp open vnc
5901/tcp open vnc-1
5999/tcp open ncd-conf
8080/tcp open http-proxy
8081/tcp open blackice-icecap
8085/tcp open unknown
8086/tcp open d-s-n
8088/tcp open radan-http
8089/tcp open unknown
8090/tcp open opsmessaging
8099/tcp open unknown
9100/tcp open jetdirect
9200/tcp open wap-wsp
20000/tcp open dnp
30000/tcp open ndmps
私の質問は、これらのポートがすべて開いているのはなぜですか、IAP から開いているのですか。もしそうなら、認証なしで Ingress IP と思われるものをスキャンでき、最終的に HTTP/S ポート以外のすべてを閉じることができるのはなぜですか?セキュリティのため?それが IAP である場合、おそらくこれらは、利用可能である可能性があるがクラスター内にないさまざまなサービスのさまざまなトラフィックを転送するために開いている必要があります。それはこれを説明していますか?
ヒントがあれば素敵です。私は RTFM を行いましたが、イングレスに関するすべてが、HTTP/S トラフィックを受け入れ、サービス/展開に転送することだけを示しているようです。これらのポートを開いたままにしているこの IAP ですか、それとも本当に Ingress にあるのでしょうか? Ingress に関連付けられた IP アドレスです。これらのポートを閉じるように Ingress を構成するには、クラスターに FrontendConfig を追加する必要がありますか?
前もって感謝します!