Если в инфраструктуре, где работает Deckhouse Kubernetes Platform, есть требования для ограничения сетевого взаимодействия, то необходимо соблюсти следующие условия:
- Включен режим туннелирования трафика между подами (настройки для CNI Cilium, настройки для CNI Flannel).
- В случае необходимости интеграции с внешними системами (например, LDAP, SMTP или прочие внешние API), с ними разрешено сетевое взаимодействие.
- Локальное сетевое взаимодействие полностью разрешено в рамках каждого отдельно взятого узла кластера.
- Разрешено взаимодействие между узлами по портам, приведенным в таблицах на текущей странице.
Трафик между мастер-узлами
| Порт | Протокол | Назначение |
|---|---|---|
| 2379, 2380 | TCP | Репликация etcd |
| 9443 | TCP | Webhook-обработчик Cluster API |
| 9444 | TCP | Webhook-обработчик для cloud-провайдера VMware Cloud Director |
Трафик между мастер-узлами и остальными узлами
| Порт | Протокол | Назначение |
|---|---|---|
| 22 | TCP | SSH для первичной настройки узлов статичным провайдером |
| 10250 | TCP | kubelet |
| 10423 | TCP | apiserver bashible для доставки конфигурации на узлы |
| 9680 | TCP | webhook компонента runtime-audit-engine |
| 8443 | TCP | Webhook контроллера ingress-nginx для инлета HostWithFailover |
Трафик между любыми узлами и мастер-узлами
| Порт | Протокол | Назначение |
|---|---|---|
| 6443 | TCP | kube-apiserver для контроллеров, работающих в сетевом пространстве имен узла |
| 8443 | TCP | Метрики компонента machine-controller-manager |
| 5443 | TCP | Прокси для пакетов registry registry-packages-proxy |
Трафик между любыми узлами
| Порт | Протокол | Назначение |
|---|---|---|
| ICMP | ICMP для мониторинга связности между узлами | |
| 8469, 8472 | UDP | VXLAN для инкапсуляции трафика между подами |
| 123 | UDP | NTP для синхронизации времени между узлами |
| 4240 | TCP | Порт для процедуры healthcheck соседних узлов в CNI Cilium |
| 4244 | TCP | API для модуля cilium-hubble |
| 9734 | TCP | Метрики агентов CNI Cilium |
| 9735 | TCP | Метрики оператора CNI Cilium |
| 9889 | TCP | Метрики контроллера Deckhouse |
| 9434 | TCP | Метрики модуля ebpf-exporter |
| 9101 | TCP | Метрики модуля node-exporter |
| 10354, 10355 | TCP | Метрики контроллера ingress-nginx для инлета HostWithFailover |
| 8008 | TCP | Метрики управляющего слоя Kubernetes |
| 9255 | TCP | Метрики kube-proxy |
| 8083 | TCP | Метрики Cluster API |
| 8766 | TCP | Метрики модуля runtime-audit-engine |
| 10445 | TCP | Метрики kube-router |
| 9695 | TCP | Метрики агента sds-node-configurator |
| 3367 | TCP | API агента модуля sds-replicated-volume |
| 9942 | TCP | Метрики агента sds-replicated-volume |
| 7000-7999 | TCP | Репликация DRBD для sds-replicated-volume |
| 49152, 49153 | TCP | Живая миграция ВМ в Deckhouse Virtualization Platform |
| 7946, 7947 | TCP | Синхронизация через протокол memberlist для компонентов speaker модулей metallb и l2-load-balancer |
| 7946, 7947 | UDP | Синхронизация через протокол memberlist для компонентов speaker модулей metallb и l2-load-balancer |
| 7473, 7475 | TCP | Метрики компонентов speaker модулей metallb и l2-load-balancer |
Внешний трафик на мастер-узлы
| Порт | Протокол | Назначение |
|---|---|---|
| 6443 | TCP | kube-apiserver для местных администраторов |
| 22, 22322 | TCP | SSH для инициализации Deckhouse Kubernetes Platform |
Внешний трафик на фронтенд-узлы
| Порт | Протокол | Назначение |
|---|---|---|
| 30000-32767 | TCP | Диапазон портов NodePort |
| 80, 443 | TCP | Прикладные порты для запросов к Ingress-контроллеру по протоколам HTTP и HTTPS. Обратите внимание, что эти порты настраиваются в ресурсе IngressNginxController и могут отличаться в разных инсталляциях |
| 5416 | UDP | OpenVPN |
| 5416 | TCP | OpenVPN |
Внешний трафик для каждого узла
| Порт | Протокол | Назначение |
|---|---|---|
| 443 | TCP | Container registry |
| 53 | UDP | DNS |
| 53 | TCP | DNS |
| 123 | UDP | NTP для синхронизации с внешними серверами точного времени |