Kubernetes Antivirüs Exclusion Listesi
İçindekiler
- Kubernetes Sistem Dizinleri
- Container Runtime Dizinleri
- Apinizer Uygulama Dizinleri
- Log Dizinleri
- Data Dizinleri (Persistent Volumes)
- Container Image Dizinleri
- Network Dosyaları
- Process ve System Dosyaları
- Apinizer Bileşen Portları
- Process Exclusion'ları
- Özet Exclusion Listesi
- Önemli Notlar
1. Kubernetes Sistem Dizinleri
Kubernetes'in çalışması için gerekli dizinler:
/var/lib/kubelet/**
/var/lib/etcd/**
/var/lib/containerd/**
/var/lib/docker/**
/var/lib/cni/**
/var/run/containerd/**
/var/run/docker/**
/var/run/kubelet/**
/var/run/secrets/kubernetes.io/serviceaccount/**
/etc/kubernetes/**
/etc/cni/**
/opt/cni/**
Önemli: Apinizer, Kubernetes service account dosyalarına erişir:
/var/run/secrets/kubernetes.io/serviceaccount/namespace/var/run/secrets/kubernetes.io/serviceaccount/token
2. Container Runtime Dizinleri
/var/lib/containerd/**
/var/lib/docker/**
/var/lib/crio/**
/var/lib/podman/**
/var/run/containerd/**
/var/run/docker/**
/var/run/crio/**
/var/run/podman/**
3. Apinizer Uygulama Dizinleri
Container içi çalışma dizinleri:
/home/ubuntu/**
/tmp/**
/var/tmp/**
Not: Apinizer java.io.tmpdir kullanır (genelde /tmp veya /var/tmp).
4. Log Dizinleri
Apinizer bileşenlerinin log dosyaları:
/var/log/apinizer/**
/var/log/kubernetes/**
/var/log/containers/**
/var/log/pods/**
5. Data Dizinleri (Persistent Volumes)
MongoDB, Elasticsearch ve Hazelcast için:
# MongoDB data dizinleri
/var/lib/mongodb/**
/data/mongodb/**
/mongodb-data/**
# Elasticsearch data dizinleri
/var/lib/elasticsearch/**
/data/elasticsearch/**
/elasticsearch-data/**
# Hazelcast cache dizinleri
/var/lib/hazelcast/**
/data/hazelcast/**
/hazelcast-data/**
# Genel persistent volume dizinleri
/var/lib/kubelet/pods/**
6. Container Image Dizinleri
/var/lib/containerd/io.containerd.snapshotter.v1.overlayfs/**
/var/lib/docker/image/**
/var/lib/docker/overlay2/**
7. Network Dosyaları
Kubernetes network plugin dosyaları:
/var/lib/cni/**
/opt/cni/bin/**
/etc/cni/net.d/**
/var/run/flannel/**
8. Process ve System Dosyaları
/proc/**
/sys/**
/dev/**
9. Apinizer Bileşen Portları (Network Exclusion)
Antivirüsün network trafiğini taramaması için:
# Worker NodePort'lar
32080/tcp # API Yönetim Konsolu
30180/tcp # API Portal
30080/tcp # API Gateway
30090/tcp # API Gateway alternatif
# Kubernetes portları
6443/tcp # Kubernetes API server
10248/tcp # Kubelet API
10250/tcp # Kubelet API
10257/tcp # Kube-controller-manager
10259/tcp # Kube-scheduler
2379-2380/tcp # etcd
8285/udp # Flannel
8472/udp # Flannel
179/tcp # Calico
9091/tcp # Calico
9099/tcp # Calico
# Apinizer bileşen portları
8080/tcp # Manager API
5701/tcp # Hazelcast Cache
9200/tcp # Elasticsearch HTTP
9300/tcp # Elasticsearch Transport
25080/tcp # MongoDB
10. Process Exclusion'ları
Aşağıdaki process'lerin taramadan muaf tutulması:
# Kubernetes bileşenleri
kubelet
kube-proxy
kube-apiserver
kube-controller-manager
kube-scheduler
etcd
containerd
dockerd
crio
# Apinizer bileşenleri
java (Apinizer Worker, Manager, Cache için)
mongod
elasticsearch
Özet Exclusion Listesi
Aşağıdaki format, çoğu antivirüs çözümünde kullanılabilir:
# Kubernetes Core
/var/lib/kubelet/**
/var/lib/etcd/**
/var/lib/containerd/**
/var/lib/docker/**
/var/run/containerd/**
/var/run/secrets/kubernetes.io/serviceaccount/**
/etc/kubernetes/**
# Container Runtime
/var/lib/cni/**
/opt/cni/**
# Apinizer Application
/home/ubuntu/**
/tmp/**
/var/tmp/**
# Logs
/var/log/apinizer/**
/var/log/kubernetes/**
/var/log/containers/**
/var/log/pods/**
# Data Volumes
/var/lib/mongodb/**
/var/lib/elasticsearch/**
/var/lib/hazelcast/**
/var/lib/kubelet/pods/**
# System
/proc/**
/sys/**
/dev/**
Önemli Notlar
-
Performance: Bu dizinlerin exclusion'ı, antivirüsün performans etkisini azaltır ve Apinizer'ın normal çalışmasını sağlar.
-
Güvenlik: Exclusion'ları sadece gerekli dizinlerle sınırlayın. Gereksiz exclusion'lar güvenlik riski oluşturabilir.
-
Monitoring: Exclusion edilen dizinlerde güvenlik izlemesi yapın. Antivirüs taramadan muaf tutsa da, log monitoring ve behavioral analysis devam etmelidir.
-
Dokümantasyon: Apinizer Deployment Topology sayfasına göre DMZ ve LAN ayrımı yapıldığında, her zone için ayrı exclusion politikaları düşünülebilir.
Apinizer Deployment Topolojisi
Apinizer, Kubernetes üzerinde şu şekilde dağıtılır:
DMZ Zone (Demilitarized Zone)
Worker Nodes:
- Local Cache
- Token Provider API
- Proxy Handler
Port Gereksinimleri:
- 32080 (NodePort) - Manager erişimi
- 30080/30090 (NodePort) - Apinizer API Gateway
- 443/80 (HTTPS/HTTP) - İstemci erişimi
LAN Zone (Local Area Network)
Manager Module:
- Scheduled Jobs
- Monitoring & Alerting
- Analytics Engine
- Web Manager
Port Gereksinimleri:
- 8080 (Management API) - Worker'lardan erişim
- 8080 (HTTP) - Web Manager
MongoDB:
- Port 25080 (Apinizer DB Port)
- Port 25080 (MongoDB)
Elasticsearch:
- Port 9200 (HTTP) - Log gönderimi
- Port 9300 (Transport) - Cluster iletişimi
Cache Cluster (Hazelcast):
- Port 5701 - Cluster iletişimi
Antivirüs Çözümüne Göre Yapılandırma
- Symantec Endpoint Protection: File and Folder Exclusions
- McAfee: Real-Time Scan Exclusions
- Trend Micro: Scan Exclusions
- Windows Defender: Exclusion paths
- ClamAV: ExcludePath directive
Kaynaklar
Son Güncelleme: 2026-02-04