Если в инфраструктуре, где работает Deckhouse Kubernetes Platform, есть требования для ограничения сетевого взаимодействия, то необходимо соблюсти следующие условия:

  • Включен режим туннелирования трафика между подами (настройки для CNI Cilium, настройки для CNI Flannel).
  • В случае необходимости интеграции с внешними системами (например, LDAP, SMTP или прочие внешние API), с ними разрешено сетевое взаимодействие.
  • Локальное сетевое взаимодействие полностью разрешено в рамках каждого отдельно взятого узла кластера.
  • Разрешено взаимодействие между узлами по портам, приведенным в таблицах на текущей странице.

Трафик между мастер-узлами

Порт Протокол Назначение
2379, 2380 TCP Репликация etcd
9443 TCP Webhook-обработчик Cluster API
9444 TCP Webhook-обработчик для cloud-провайдера VMware Cloud Director

Трафик между мастер-узлами и остальными узлами

Порт Протокол Назначение
22 TCP SSH для первичной настройки узлов статичным провайдером
10250 TCP kubelet
10423 TCP apiserver bashible для доставки конфигурации на узлы
9680 TCP webhook компонента runtime-audit-engine
8443 TCP Webhook контроллера ingress-nginx для инлета HostWithFailover

Трафик между любыми узлами и мастер-узлами

Порт Протокол Назначение
6443 TCP kube-apiserver для контроллеров, работающих в сетевом пространстве имен узла
8443 TCP Метрики компонента machine-controller-manager

Трафик между любыми узлами

Порт Протокол Назначение
  ICMP ICMP для мониторинга связности между узлами
8469, 8472 UDP VXLAN для инкапсуляции трафика между подами
123 UDP NTP для синхронизации времени между узлами
4240 TCP Порт для процедуры healthcheck соседних узлов в CNI Cilium
4244 TCP API для модуля cilium-hubble
9734 TCP Метрики агентов CNI Cilium
9735 TCP Метрики оператора CNI Cilium
9889 TCP Метрики контроллера Deckhouse
9434 TCP Метрики модуля ebpf-exporter
9101 TCP Метрики модуля node-exporter
10354, 10355 TCP Метрики контроллера ingress-nginx для инлета HostWithFailover
8008 TCP Метрики управляющего слоя Kubernetes
9255 TCP Метрики kube-proxy
8083 TCP Метрики Cluster API
8766 TCP Метрики модуля runtime-audit-engine
10445 TCP Метрики kube-router
3367 TCP API агента модуля sds-replicated-volume
9942 TCP Метрики агента sds-replicated-volume
7000-7999 TCP Репликация DRBD для sds-replicated-volume
49152, 49153 TCP Живая миграция ВМ в Deckhouse Virtualization Platform
7946, 7947 TCP Синхронизация через протокол memberlist для компонентов speaker модулей metallb и l2-load-balancer
7946, 7947 UDP Синхронизация через протокол memberlist для компонентов speaker модулей metallb и l2-load-balancer
7473, 7475 TCP Метрики компонентов speaker модулей metallb и l2-load-balancer

Внешний трафик на мастер-узлы

Порт Протокол Назначение
6443 TCP kube-apiserver для местных администраторов
22, 22322 TCP SSH для инициализации Deckhouse Kubernetes Platform

Внешний трафик на фронтенд-узлы

Порт Протокол Назначение
30000-32767 TCP Диапазон портов NodePort
80, 443 TCP Прикладные порты для запросов к Ingress-контроллеру по протоколам HTTP и HTTPS. Обратите внимание, что эти порты настраиваются в ресурсе IngressNginxController и могут отличаться в разных инсталляциях
5416 UDP OpenVPN
5416 TCP OpenVPN

Внешний трафик для каждого узла

Порт Протокол Назначение
443 TCP Container registry
53 UDP DNS
53 TCP DNS
123 UDP NTP для синхронизации с внешними серверами точного времени