Если на площадке, где работает Deckhouse Kubernetes Platform, есть требования для ограничения сетевого взаимодействия между серверами на уровне инфраструктуры, то необходимо соблюсти следующие условия:

  • Включен режим туннелирования трафика между подами (настройки для CNI Cilium, настройки для CNI Flannel).
  • Разрешена передача трафика между podSubnetCIDR, инкапсулированного внутри VXLAN (если выполняется инспектирование и фильтрация трафика внутри VXLAN-туннеля).
  • В случае необходимости интеграции с внешними системами (например, LDAP, SMTP или прочие внешние API), с ними разрешено сетевое взаимодействие.
  • Локальное сетевое взаимодействие полностью разрешено в рамках каждого отдельно взятого узла кластера.
  • Разрешено взаимодействие между узлами по портам, приведенным в таблицах на текущей странице. Обратите внимание, что большинство портов входит в диапазон 4200-4299. При добавлении новых компонентов платформы им будут назначаться порты из этого диапазона (при наличии возможности).

Трафик между master-узлами

Порт Протокол Назначение
2379, 2380 TCP Репликация etcd
4200 TCP Вебхук-обработчик Cluster API
4201 TCP Вебхук-обработчик для cloud-провайдера VMware Cloud Director
4223 TCP Вебхук-обработчик контроллера Deckhouse

Трафик от master-узлов к узлам

Порт Протокол Назначение
22 TCP SSH для первичной настройки узлов статичным провайдером
10250 TCP kubelet
4221 TCP apiserver bashible для доставки конфигурации на узлы
4227 TCP Вебхук-обработчик компонента runtime-audit-engine

Трафик от узлов к master-узлам

Порт Протокол Назначение
4234 UDP NTP для синхронизации времени между узлами
6443 TCP kube-apiserver для контроллеров, работающих в сетевом пространстве имен узла
4203 TCP Метрики компонента machine-controller-manager
4219 TCP Прокси для пакетов registry registry-packages-proxy
4222 TCP Метрики контроллера Deckhouse

Трафик между узлами

Порт Протокол Назначение
  ICMP ICMP для мониторинга связности между узлами
7000-7999 TCP Репликация DRBD для sds-replicated-volume
8469, 8472 UDP VXLAN для инкапсуляции трафика между подами
4204 TCP Debug для контроллера Deckhouse
4205 TCP Метрики модуля ebpf-exporter
4206 TCP Метрики модуля node-exporter
4207, 4208 TCP Метрики контроллера ingress-nginx для инлета HostWithFailover
4209 TCP Метрики управляющего слоя Kubernetes
4210 TCP Метрики kube-proxy
4211 TCP Метрики Cluster API
4212 TCP Метрики модуля runtime-audit-engine
4213 TCP Метрики kube-router
9695 TCP Метрики агента sds-node-configurator
3367 TCP API агента модуля sds-replicated-volume
9942 TCP Метрики агента sds-replicated-volume
49152, 49153 TCP Живая миграция ВМ в Deckhouse Virtualization Platform
4218, 4225 TCP Синхронизация через протокол memberlist для компонентов speaker модулей metallb
4218, 4225 UDP Синхронизация через протокол memberlist для компонентов speaker модулей metallb
4220, 4226 TCP Метрики компонентов speaker модулей metallb
4224 TCP Метрики node-local-dns
4240 TCP Порт для процедуры healthcheck соседних узлов в CNI Cilium
4241 TCP Метрики агентов CNI Cilium
4242 TCP Метрики оператора CNI Cilium
4244 TCP API для модуля cilium-hubble

Внешний трафик к master-узлам

Порт Протокол Назначение
22, 22322 TCP SSH для инициализации Deckhouse Kubernetes Platform
6443 TCP Прямой доступ к apiserver`у

Внешний трафик к фронтенд-узлам

Порт Протокол Назначение
80, 443 TCP Прикладные порты для запросов к Ingress-контроллеру по протоколам HTTP и HTTPS. Обратите внимание, что эти порты настраиваются в ресурсе IngressNginxController и могут отличаться в разных инсталляциях
5416 UDP OpenVPN
5416 TCP OpenVPN
10256 TCP healthcheck-порт для внешних балансировщиков
30000-32767 TCP Диапазон портов NodePort

Внешний трафик для всех узлов

Порт Протокол Назначение
53 UDP DNS
53 TCP DNS
123 UDP NTP для синхронизации с внешними серверами точного времени
443 TCP Container registry