kubernetes(完全削除)

kubeadm reset

sudo apt-get purge kubeadm kubectl kubelet kubernetes-cni kube*   

sudo apt-get autoremove  

sudo rm -rf ~/.kube

kubernetsの不具合調査

各raspberry piの再起動を行ってから

masterと各ノードで同期が取れていないようなので、初期化をすることにした。

1)以下、コマンドを実行する。

root@rasp-master:~# kubectl proxy --address 0.0.0.0 --accept-hosts '.*'

Starting to serve on [::]:8001

2)kubernetesのダッシュボードにアクセスすると、以下の表示になりログイン画面に推移できない。

I0331 09:52:30.160891   16452 logs.go:41] http: proxy error: dial tcp [::1]:8080: getsockopt: connection refused

仕方がないので、初期化を行う。

◻️masterのみ実施

root@rasp-master:~# sudo kubeadm init --pod-network-cidr=10.244.0.0/16

root@rasp-master:~# mkdir -p $HOME/.kube

root@rasp-master:~# sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config

root@rasp-master:~# sudo chown $(id -u):$(id -g) $HOME/.kube/config

root@rasp-master:~# kubectl apply -f <(curl -s https://raw.githubusercontent.com/coreos/flannel/v0.9.1/Documentation/kube-flannel.yml |sed 's/amd64/arm/g')

◻️nodeのみ実施

kubeadm join --token 4d43f6.f932dfd90a98d744 192.168.13.5:6443 --discovery-token-ca-cert-hash sha256:XXXXXXXXXXXXXXXX

●上記、master側で、sudo kubeadm init --pod-network-cidr=10.244.0.0/16で表示された情報。

◻️ちゃんと、各ノードも認識できているようだ。

root@rasp-master:~# kubectl get node

NAME          STATUS    ROLES     AGE       VERSION

rasp-master   Ready     master    4m        v1.8.14

rasp-node01   Ready     <none>    2m        v1.8.14

rasp-node02   Ready     <none>    2m        v1.8.14

fortigate スパムメール機能

プロキシーモードに変更する必要がある。

fortigate ライセンス切れの場合のWebフィルタリング

FortigateのWebフィルタはライセンスが切れた瞬間に全部Blockになる

fortigate設定メモ

fortigate Ver:5.6.x


(1)web filterring
   ->内部セグメントから観覧できるURLを絞る場合に行う
(2)IPv4 policy
　->セキュリティルールなどを決める
　->内部間(192.168.11.0->192.168.20.0)のルーティングは、NATをONにすること。
(3)IPv4/Dos
(4)ntp
　->時刻同期
(5)adress登録
　->内部で、使用する各セグメントを登録するのに使用
(6)IPS
侵入防止機能のこと
(7)spam mail
   ->プロキシーモードにしないと使用できない。
(8)anvirus
 ->アンチウィルス
(9)static(unnmberd ip) for pppoe
(10)Virtual IP:SNAT(DMZ用に使用)
　　->バーチャルIP-ローカルIPを連携させる設定を行う。
　　　（ポート番号：サービスの設定もここで行う。）
(11)サービス(ポート番号)
  ->通信ポートを決める箇所のこと

(12)fortiguard(シグネチャ更新)
 各種、IPS, Anvirusなどを自動で更新可能。

◻️spam mailについては、シグネチャとう概念はなく
fortigateのデータベースから情報を見に行って判断するらしい。

SSLCipherSuite

以下、ssl.confに記載を行うセキュリティの設定。


その1「セキュリティ高レベル」

SSLProtocol -ALL +TLSv1.2
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256!RC4:!LOW:!MD5:!aNULL:!eNULL:!3DES:!EXP:!PSK:!SRP:!DSS:!ADH:!DH
Header always set Strict-Transport-Security "max-age=31536000"

その2「セキュリティ標準レベル」

SSLProtocol -ALL +TLSv1.2
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!RC4:!LOW:!MD5:!aNULL:!eNULL:!3DES:!EXP:!PSK:!SRP:!DSS:!ADH:!DH

bind （オープンレゾルバ対策）

◻️オープンレゾルバ対策(権威DNSサーバーとキャッシュDNSサーバーを兼用)

以下の内容に修正を行うことにする。（赤字が追加）

vi /etc/named.conf

===========================================

acl my-network {

       192.168.1.0/24;

       localhost;

};

options {

//      listen-on port 53 { any; };

//      listen-on-v6 port 53 { ::1; };

        version         "unknown";

        directory       "/var/named";

        dump-file       "/var/named/data/cache_dump.db";

        statistics-file "/var/named/data/named_stats.txt";

        memstatistics-file "/var/named/data/named_mem_stats.txt";

        recursing-file  "/var/named/data/named.recursing";

        secroots-file   "/var/named/data/named.secroots";

        allow-transfer { 202.238.95.24; };

//        allow-query     { localhost; localnets; };

//        allow-recursion { localhost; localnets; };

//        allow-query-cache { localhost; localnets; };

        forwarders{ 202.238.95.24; };

        recursion yes;

        allow-query { any; };

        allow-recursion { my-network; };

        allow-query-cache { my-network; };

==============================================

参照先：

https://faq.interlink.or.jp/faq2/View/wcDisplayContent.aspx?id=567

Centrecom x210 (syslogの設定方法)

syslogを出力したい場合は、以下のコマンドを投入すればいいみたい。

awplus(config)# log host 192.168.10.2 facility ファシリティ名

◻️ファシリティ名は、以下の一覧から選ぶこと

少なくても、auth,cron,kernは選ぶと、サーバOS側(Linux)で出力されるものなので

慎重にしたいところ。

名称	説明
auth	認証サブシステム
authpriv	認証サブシステム（機密性の高いもの）
cron	定期実行デーモン（crond）
daemon	システムデーモン
ftp	ファイル転送サブシステム
kern	カーネル
lpr	プリンタースプーラーサブシステム
mail	メールサブシステム
news	ネットニュースサブシステム
syslog	syslogデーモン（syslogd）
user	ユーザープロセス
uucp	UUCPサブシステム

fortigate NTPサーバを指定する方法について

コマンド(CLI上で)操作で以下の設定が必要。

（OS:5.6.2ではGUIでの設定はできなかった。）

①以下のコマンドを実施すること

config system ntpset ntpsync enableset type customset syncinterval 60config ntpserveredit 1set server "ntp-server"   <—ntpサーバを指定すること

fortigate メモ（ntpサーバについて）

オフライン環境前提で、fortigateをNTPサーバにした場合

外部のNTPと同期が出来ない状態だと、それにぶら下がっている

Serverや各種ネットワーク機器は、時間同期を失敗するとのこと。

例）

    [fortigate 90E/  NTPサーバの設定]

　　   |                           |

    [Server①]       [Network SW②]

①②ともにfortigateに時間同期ができない仕様

上記、なかなかforitgateをオフラインで使用しないので

どうでもイイ話だが。

centrecom x210 (ntpの設定)

◻️ NTP サーバーの指定（クライアント側）

awplus(config)# ntp server 同期先のntpサーバのIP

◻️NTPサーバー間の同期に関する情報を表示

awplus> show ntp associations

◻️NTPの状態を表示

awplus> show ntp status

centrecom x210 (コンフィグのリカバリ方法) ssh経由

設定前提：基本設定ができていること
①デフォルトルーティングの設定
②firewall側の設定（sshポート：２２番の状態など）


以下のコマンドを投入する。

copy scp://ユーザ名@サーバIPアドレス/保存先のフォルダ/start.cfg flash:/ 

Centrecom x210 : scp経由でコンフィグバックアップ & 基本設定

◻️各種モード

awplus# enable(非特権EXECモード)

awplus# conf t(特権EXECモード) 

◻️VLANの設定

①LAN経由で、CentreComにログインするに必要な設定。

awplus(config)# interface vlan1 

②IPアドレスを設定する。

awplus(config-if)# ip address 192.168.2.6/24 

awplus(config-if)# exit

◻️デフォルトゲートウェイアドレスの設定

①以下、を設定しないと、ssh経由で、コンフィグが送れないので必要

 awplus(config)# ip route 0.0.0.0/0 <gateway-address> 

②指定先のサーバにコンフィグをバックアップする。

copy start.cfg scp://ユーザ名@サーバIPアドレス/保存先のフォルダ/ 

password:xxxxx  <—サーバにログインするパスワードを入力