Если в инфраструктуре, где работает Deckhouse Kubernetes Platform, есть требования для ограничения сетевого взаимодействия, то необходимо соблюсти следующие условия:
- Включен режим туннелирования трафика между подами (настройки для CNI Cilium, настройки для CNI Flannel).
- В случае необходимости интеграции с внешними системами (например, LDAP, SMTP или прочие внешние API), с ними разрешено сетевое взаимодействие.
- Локальное сетевое взаимодействие полностью разрешено в рамках каждого отдельно взятого узла кластера.
- Разрешено взаимодействие между узлами по портам, приведенным в таблицах на текущей странице.
Трафик между мастер-узлами
Порт | Протокол | Назначение |
---|---|---|
2379, 2380 | TCP | Репликация etcd |
9443 | TCP | Webhook-обработчик Cluster API |
9444 | TCP | Webhook-обработчик для cloud-провайдера VMware Cloud Director |
Трафик между мастер-узлами и остальными узлами
Порт | Протокол | Назначение |
---|---|---|
22 | TCP | SSH для первичной настройки узлов статичным провайдером |
10250 | TCP | kubelet |
10423 | TCP | apiserver bashible для доставки конфигурации на узлы |
9680 | TCP | webhook компонента runtime-audit-engine |
8443 | TCP | Webhook контроллера ingress-nginx для инлета HostWithFailover |
Трафик между любыми узлами и мастер-узлами
Порт | Протокол | Назначение |
---|---|---|
6443 | TCP | kube-apiserver для контроллеров, работающих в сетевом пространстве имен узла |
8443 | TCP | Метрики компонента machine-controller-manager |
5443 | TCP | Прокси для пакетов registry registry-packages-proxy |
Трафик между любыми узлами
Порт | Протокол | Назначение |
---|---|---|
ICMP | ICMP для мониторинга связности между узлами | |
8469, 8472 | UDP | VXLAN для инкапсуляции трафика между подами |
123 | UDP | NTP для синхронизации времени между узлами |
4240 | TCP | Порт для процедуры healthcheck соседних узлов в CNI Cilium |
4244 | TCP | API для модуля cilium-hubble |
9734 | TCP | Метрики агентов CNI Cilium |
9735 | TCP | Метрики оператора CNI Cilium |
9889 | TCP | Метрики контроллера Deckhouse |
9434 | TCP | Метрики модуля ebpf-exporter |
9101 | TCP | Метрики модуля node-exporter |
10354, 10355 | TCP | Метрики контроллера ingress-nginx для инлета HostWithFailover |
8008 | TCP | Метрики управляющего слоя Kubernetes |
9255 | TCP | Метрики kube-proxy |
8083 | TCP | Метрики Cluster API |
8766 | TCP | Метрики модуля runtime-audit-engine |
10445 | TCP | Метрики kube-router |
9695 | TCP | Метрики агента sds-node-configurator |
3367 | TCP | API агента модуля sds-replicated-volume |
9942 | TCP | Метрики агента sds-replicated-volume |
7000-7999 | TCP | Репликация DRBD для sds-replicated-volume |
49152, 49153 | TCP | Живая миграция ВМ в Deckhouse Virtualization Platform |
7946, 7947 | TCP | Синхронизация через протокол memberlist для компонентов speaker модулей metallb и l2-load-balancer |
7946, 7947 | UDP | Синхронизация через протокол memberlist для компонентов speaker модулей metallb и l2-load-balancer |
7473, 7475 | TCP | Метрики компонентов speaker модулей metallb и l2-load-balancer |
Внешний трафик на мастер-узлы
Порт | Протокол | Назначение |
---|---|---|
6443 | TCP | kube-apiserver для местных администраторов |
22, 22322 | TCP | SSH для инициализации Deckhouse Kubernetes Platform |
Внешний трафик на фронтенд-узлы
Порт | Протокол | Назначение |
---|---|---|
30000-32767 | TCP | Диапазон портов NodePort |
80, 443 | TCP | Прикладные порты для запросов к Ingress-контроллеру по протоколам HTTP и HTTPS. Обратите внимание, что эти порты настраиваются в ресурсе IngressNginxController и могут отличаться в разных инсталляциях |
5416 | UDP | OpenVPN |
5416 | TCP | OpenVPN |
Внешний трафик для каждого узла
Порт | Протокол | Назначение |
---|---|---|
443 | TCP | Container registry |
53 | UDP | DNS |
53 | TCP | DNS |
123 | UDP | NTP для синхронизации с внешними серверами точного времени |