Если на площадке, где работает Deckhouse Kubernetes Platform (DKP), есть требования для ограничения сетевого взаимодействия между серверами на уровне инфраструктуры, то необходимо соблюсти следующие условия:

  • Включен режим туннелирования трафика между подами (настройки для CNI Cilium, настройки для CNI Flannel).
  • Разрешена передача трафика между podSubnetCIDR, инкапсулированного внутри VXLAN (если выполняется инспектирование и фильтрация трафика внутри VXLAN-туннеля).
  • В случае необходимости интеграции с внешними системами (например, LDAP, SMTP или прочие внешние API), с ними разрешено сетевое взаимодействие.
  • Локальное сетевое взаимодействие полностью разрешено в рамках каждого отдельно взятого узла кластера.
  • Разрешено взаимодействие между узлами по портам, приведенным в таблицах на текущей странице. Обратите внимание, что большинство портов входит в диапазон 4200-4299. При добавлении новых компонентов платформы им будут назначаться порты из этого диапазона (при наличии возможности).

Изменения, связанные с добавлением, удалением или переопределением портов в таблицах, перечислены в подразделе «Сеть» соответствующей версии DKP на странице «История изменений».

Трафик между master-узлами

Порт Протокол Назначение
2379, 2380 TCP Репликация etcd
4200 TCP Вебхук-обработчик Cluster API
4201 TCP Вебхук-обработчик для cloud-провайдера VMware Cloud Director
4223 TCP Вебхук-обработчик контроллера Deckhouse

Трафик от master-узлов к узлам

Порт Протокол Назначение
22 TCP SSH для первичной настройки статичных узлов статичным провайдером
10250 TCP kubelet
4221 TCP apiserver bashible для доставки конфигурации на узлы
4227 TCP Вебхук-обработчик компонента runtime-audit-engine

Трафик от узлов к master-узлам

Порт Протокол Назначение
4234 UDP NTP для синхронизации времени между узлами
6443 TCP kube-apiserver для контроллеров, работающих в сетевом пространстве имен узла
4203 TCP Метрики компонента machine-controller-manager
4219 TCP Прокси для пакетов registry registry-packages-proxy
4222 TCP Метрики контроллера Deckhouse

Трафик между узлами

Порт Протокол Назначение
  ICMP ICMP для мониторинга связности между узлами
4202 TCP Метрики агента sds-node-configurator
4204 TCP Debug для контроллера Deckhouse
4205 TCP Метрики модуля ebpf-exporter
4206 TCP Метрики модуля node-exporter
4207 TCP Метрики контроллера ingress-nginx для инлета HostWithFailover
4208 TCP Метрики контроллера ingress-nginx для инлета HostWithFailover
4209 TCP Метрики управляющего слоя Kubernetes
4210 TCP Метрики kube-proxy
4211 TCP Метрики Cluster API
4212 TCP Метрики модуля runtime-audit-engine
4213 TCP Метрики kube-router
4214 TCP API агента модуля sds-replicated-volume
4215 TCP Метрики агента sds-replicated-volume
4218 TCP/UDP Синхронизация компонентов speaker модулей metallb через протокол memberlist
4220 TCP Метрики компонентов speaker модулей metallb
4224 TCP Метрики node-local-dns
4225 TCP/UDP Синхронизация компонентов speaker модулей metallb через протокол memberlist
4226 TCP Метрики компонентов speaker модулей metallb
4229 TCP Healthcheck CSI-контроллера модуля csi-nfs
4230 TCP Healthcheck CSI-агентов модуля csi-nfs
4231 TCP Healthcheck CSI-контроллера модуля csi-hpe
4232 TCP Healthcheck CSI-агентов модуля csi-hpe
4235 TCP Healthcheck CSI-контроллера модуля csi-s3
4236 TCP Healthcheck CSI-агентов модуля csi-s3
4237 TCP Healthcheck CSI-контроллера модуля csi-scsi-generic
4238 TCP Healthcheck CSI-агентов модуля csi-scsi-generic
4240 TCP Порт для процедуры healthcheck соседних узлов в CNI Cilium
4241 TCP Метрики агентов CNI Cilium
4242 TCP Метрики оператора CNI Cilium
4244 TCP API для модуля cilium-hubble
4245 TCP Метрики chrony-exporter
4246 TCP Healthcheck CSI-контроллера CephFS модуля csi-ceph
4247 TCP Healthcheck CSI-контроллера RBD модуля csi-ceph
4248 TCP Healthcheck CSI-контроллера модуля csi-yadro-tatlin-unified
4249 TCP Healthcheck CSI-агентов модуля csi-yadro-tatlin-unified
4250 TCP Healthcheck CSI-контроллера модуля sds-local-volume
4251 TCP Healthcheck CSI-агентов модуля sds-local-volume
4252 TCP Healthcheck CSI-агентов RBD модуля csi-ceph
4253 TCP Healthcheck CSI-агентов CephFS модуля csi-ceph
4254 TCP Healthcheck CSI-контроллера модуля csi-netapp
4255 TCP Healthcheck CSI-агентов модуля csi-netapp
4256 TCP Метрики CSI-контроллера модуля csi-netapp
4257 TCP Порт API CSI-контроллера модуля csi-netapp
4258 TCP Порт вебхука CSI-контроллера модуля csi-huawei
4259 TCP Healthcheck CSI-агентов модуля csi-huawei
4260 TCP Метрики CSI-контроллера модуля csi-huawei
4261 TCP Healthcheck CSI-контроллера модуля sds-replicated-volume
4262 TCP Healthcheck CSI-агентов модуля sds-replicated-volume
4263 TCP Метрики модуля service-with-healthchecks
4269 TCP Healthcheck CSI-агентов модуля sds-replicated-volume
4270 TCP Метрики CSI-агентов модуля sds-replicated-volume
4286 TCP Метрики Istio CNI
4287 UDP Порт WireGuard для шифрования трафика в CNI Cilium
4288 TCP Метрики monitoring-ping
4289 TCP Метрики monitoring-ping
4295-4299 UDP VXLAN для инкапсуляции трафика между подами
7000-7999 TCP Репликация DRBD для sds-replicated-volume
8469, 8472 UDP VXLAN для инкапсуляции трафика между подами

Внешний трафик к master-узлам

Порт Протокол Назначение
22 TCP SSH для инициализации Deckhouse Kubernetes Platform
6443 TCP Прямой доступ к apiserver`у

Внешний трафик к фронтенд-узлам

Порт Протокол Назначение
80, 443 TCP Прикладные порты для запросов к Ingress-контроллеру по протоколам HTTP и HTTPS. Обратите внимание, что эти порты настраиваются в ресурсе IngressNginxController и могут отличаться в разных инсталляциях
5416 UDP OpenVPN
5416 TCP OpenVPN
10256 TCP Healthcheck-порт для внешних балансировщиков
30000-32767 TCP Диапазон портов NodePort

Внешний трафик для всех узлов

Порт Протокол Назначение
53 UDP DNS
53 TCP DNS
123 UDP NTP для синхронизации с внешними серверами точного времени
443 TCP Container registry