Ana içeriğe atla

İçindekiler

  1. Kubernetes Sistem Dizinleri
  2. Container Runtime Dizinleri
  3. Apinizer Uygulama Dizinleri
  4. Log Dizinleri
  5. Data Dizinleri (Persistent Volumes)
  6. Container Image Dizinleri
  7. Network Dosyaları
  8. Process ve System Dosyaları
  9. Apinizer Bileşen Portları
  10. Process Exclusion’ları
  11. Özet Exclusion Listesi
  12. Önemli Notlar

1. Kubernetes Sistem Dizinleri

Kubernetes’in çalışması için gerekli dizinler: 
/var/lib/kubelet/**
/var/lib/etcd/**
/var/lib/containerd/**
/var/lib/docker/**
/var/lib/cni/**
/var/run/containerd/**
/var/run/docker/**
/var/run/kubelet/**
/var/run/secrets/kubernetes.io/serviceaccount/**
/etc/kubernetes/**
/etc/cni/**
/opt/cni/**
Önemli: Apinizer, Kubernetes service account dosyalarına erişir:
  • /var/run/secrets/kubernetes.io/serviceaccount/namespace
  • /var/run/secrets/kubernetes.io/serviceaccount/token

2. Container Runtime Dizinleri

/var/lib/containerd/**
/var/lib/docker/**
/var/lib/crio/**
/var/lib/podman/**
/var/run/containerd/**
/var/run/docker/**
/var/run/crio/**
/var/run/podman/**

3. Apinizer Uygulama Dizinleri

Container içi çalışma dizinleri: 
/home/ubuntu/**
/tmp/**
/var/tmp/**
Not: Apinizer java.io.tmpdir kullanır (genelde /tmp veya /var/tmp).

4. Log Dizinleri

Apinizer bileşenlerinin log dosyaları: 
/var/log/apinizer/**
/var/log/kubernetes/**
/var/log/containers/**
/var/log/pods/**

5. Data Dizinleri (Persistent Volumes)

MongoDB, Elasticsearch ve Hazelcast için: 
# MongoDB data dizinleri
/var/lib/mongodb/**
/data/mongodb/**
/mongodb-data/**

# Elasticsearch data dizinleri
/var/lib/elasticsearch/**
/data/elasticsearch/**
/elasticsearch-data/**

# Hazelcast cache dizinleri
/var/lib/hazelcast/**
/data/hazelcast/**
/hazelcast-data/**

# Genel persistent volume dizinleri
/var/lib/kubelet/pods/**

6. Container Image Dizinleri

/var/lib/containerd/io.containerd.snapshotter.v1.overlayfs/**
/var/lib/docker/image/**
/var/lib/docker/overlay2/**

7. Network Dosyaları

Kubernetes network plugin dosyaları: 
/var/lib/cni/**
/opt/cni/bin/**
/etc/cni/net.d/**
/var/run/flannel/**

8. Process ve System Dosyaları

/proc/**
/sys/**
/dev/**

9. Apinizer Bileşen Portları (Network Exclusion)

Antivirüsün network trafiğini taramaması için: 
# Worker NodePort'lar
32080/tcp  # API Yönetim Konsolu
30180/tcp  # API Portal
30080/tcp  # API Gateway
30090/tcp  # API Gateway alternatif

# Kubernetes portları
6443/tcp   # Kubernetes API server
10248/tcp  # Kubelet API
10250/tcp  # Kubelet API
10257/tcp  # Kube-controller-manager
10259/tcp  # Kube-scheduler
2379-2380/tcp  # etcd
8285/udp   # Flannel
8472/udp   # Flannel
179/tcp	   # Calico
9091/tcp   # Calico
9099/tcp   # Calico

# Apinizer bileşen portları
8080/tcp   # Manager API
5701/tcp   # Hazelcast Cache
9200/tcp   # Elasticsearch HTTP
9300/tcp   # Elasticsearch Transport
25080/tcp  # MongoDB

10. Process Exclusion’ları

Aşağıdaki process’lerin taramadan muaf tutulması: 
# Kubernetes bileşenleri
kubelet
kube-proxy
kube-apiserver
kube-controller-manager
kube-scheduler
etcd
containerd
dockerd
crio

# Apinizer bileşenleri
java (Apinizer Worker, Manager, Cache için)
mongod
elasticsearch

Özet Exclusion Listesi

Aşağıdaki format, çoğu antivirüs çözümünde kullanılabilir: 
# Kubernetes Core
/var/lib/kubelet/**
/var/lib/etcd/**
/var/lib/containerd/**
/var/lib/docker/**
/var/run/containerd/**
/var/run/secrets/kubernetes.io/serviceaccount/**
/etc/kubernetes/**

# Container Runtime
/var/lib/cni/**
/opt/cni/**

# Apinizer Application
/home/ubuntu/**
/tmp/**
/var/tmp/**

# Logs
/var/log/apinizer/**
/var/log/kubernetes/**
/var/log/containers/**
/var/log/pods/**

# Data Volumes
/var/lib/mongodb/**
/var/lib/elasticsearch/**
/var/lib/hazelcast/**
/var/lib/kubelet/pods/**

# System
/proc/**
/sys/**
/dev/**

Önemli Notlar

  1. Performance: Bu dizinlerin exclusion’ı, antivirüsün performans etkisini azaltır ve Apinizer’ın normal çalışmasını sağlar.
  2. Güvenlik: Exclusion’ları sadece gerekli dizinlerle sınırlayın. Gereksiz exclusion’lar güvenlik riski oluşturabilir.
  3. Monitoring: Exclusion edilen dizinlerde güvenlik izlemesi yapın. Antivirüs taramadan muaf tutsa da, log monitoring ve behavioral analysis devam etmelidir.
  4. Dokümantasyon: Apinizer Deployment Topology sayfasına göre DMZ ve LAN ayrımı yapıldığında, her zone için ayrı exclusion politikaları düşünülebilir.

Apinizer Deployment Topolojisi

Apinizer, Kubernetes üzerinde şu şekilde dağıtılır:

DMZ Zone (Demilitarized Zone)

Worker Nodes:
  • Local Cache
  • Token Provider API
  • Proxy Handler
Port Gereksinimleri:
  • 32080 (NodePort) - Manager erişimi
  • 30080/30090 (NodePort) - Apinizer API Gateway
  • 443/80 (HTTPS/HTTP) - İstemci erişimi

LAN Zone (Local Area Network)

Manager Module:
  • Scheduled Jobs
  • Monitoring & Alerting
  • Analytics Engine
  • Web Manager
Port Gereksinimleri:
  • 8080 (Management API) - Worker’lardan erişim
  • 8080 (HTTP) - Web Manager
MongoDB:
  • Port 25080 (Apinizer DB Port)
  • Port 27017 (MongoDB)
Elasticsearch:
  • Port 9200 (HTTP) - Log gönderimi
  • Port 9300 (Transport) - Cluster iletişimi
Cache Cluster (Hazelcast):
  • Port 5701 - Cluster iletişimi

Antivirüs Çözümüne Göre Yapılandırma

  • Symantec Endpoint Protection: File and Folder Exclusions
  • McAfee: Real-Time Scan Exclusions
  • Trend Micro: Scan Exclusions
  • Windows Defender: Exclusion paths
  • ClamAV: ExcludePath directive

Kaynaklar

Son Güncelleme: 2026-02-04