GCP TCP负载均衡器已打开UDP端口1900？

Question

在GCP上，我们在我们运行应用程序的Kubernetes集群前面使用了一个面向TCP负载均衡器的internet。TCP负载均衡器配置为转发端口80和443，显然是TCP。

我们的安全部门最近对我们的应用程序进行了漏洞扫描，并显然检测到负载均衡器IP地址上打开了UDP端口1900。我确信负载均衡器后面的应用程序不会监听UDP端口1900或任何UDP端口。

有没有人见过GCP TCP负载平衡器在互联网上如此开放的UDP端口？有什么理由或解释吗？不幸的是，我还没有找到任何关于这方面的文档或讨论，这让我感到非常困惑。我会感谢你的任何建议。

问候

Answer 1

GCP负载均衡器需要打开一些端口才能正常工作，尽管文档只说有些端口可以为其他

服务开放。

外部HTTP(S)负载平衡器有许多开放端口来支持运行在同一体系结构上的其他Google服务。如果针对Google外部HTTP(S)负载均衡器的外部IP地址运行安全或端口扫描，则似乎打开了其他端口。

您可以尝试创建自己的防火墙规则来阻止这些端口，但是：

• 它可以在没有任何消息/警告的情况下自动删除。
• 负载平衡器可能停止正常工作

仍然有可能你将能够阻止这些，一切都将在你的情况下工作。

不幸的是，我也没能知道哪些港口被什么服务所使用。