Kube-Hetzner项目中非默认SSH端口配置导致Terraform部署失败问题分析

在使用Kube-Hetzner项目通过Terraform部署Kubernetes集群时，如果配置了非标准的SSH端口(如2342)，会导致Terraform无法完成部署过程。这个问题源于防火墙规则配置的缺失，使得Terraform无法验证节点是否已成功启动。

问题背景

Kube-Hetzner是一个基于Terraform的项目，用于在Hetzner云平台上自动化部署Kubernetes集群。在部署过程中，Terraform需要能够通过SSH连接到新创建的节点以执行配置命令。

当用户将ssh_port参数设置为非标准值(非22)时，如果没有正确配置相应的防火墙规则，Terraform将无法建立SSH连接，导致部署过程停滞在节点验证阶段。

问题根源分析

通过分析用户提供的配置文件，我们可以发现几个关键点：

1. 用户明确设置了ssh_port = 2342，表示希望使用2342作为SSH服务端口
2. 防火墙规则中虽然包含了其他规则，但没有专门为2342端口配置入站规则
3. 项目代码中可能没有自动为自定义SSH端口创建必要的防火墙规则

解决方案

要解决这个问题，需要确保以下几点：

1. 在extra_firewall_rules中明确添加针对自定义SSH端口的入站规则
2. 确保防火墙规则的direction设置为"in"（入站）
3. 指定正确的协议类型为"tcp"
4. 设置适当的源IP范围（如"0.0.0.0/0"表示允许所有IPv4地址）

修正后的防火墙规则配置示例如下：

extra_firewall_rules = [
  {
    description     = "Allow custom SSH port incoming"
    direction       = "in"
    protocol        = "tcp"
    port            = "2342"
    source_ips      = ["0.0.0.0/0", "::/0"]
    destination_ips = []
  },
  # 其他现有规则...
]

最佳实践建议

1. 最小权限原则：在生产环境中，建议将source_ips限制为管理员的IP地址范围，而不是开放给所有IP
2. 端口安全性：使用非标准SSH端口确实可以提高安全性，但必须确保相应的防火墙规则配置正确
3. 测试验证：在应用配置前，建议先在小规模环境测试自定义SSH端口的连通性
4. 文档记录：对自定义端口配置做好文档记录，避免后续维护时遗忘

总结

Kube-Hetzner项目支持自定义SSH端口配置，但需要用户明确设置相应的防火墙规则。这个问题提醒我们，在使用基础设施即代码工具时，必须全面考虑网络访问控制等安全因素。正确的做法是在修改服务端口的同时，确保相关的网络访问规则同步更新，这样才能保证自动化部署流程的顺利完成。