Если на площадке, где работает Deckhouse Kubernetes Platform (DKP), есть требования для ограничения сетевого взаимодействия между серверами на уровне инфраструктуры, то необходимо соблюсти следующие условия:

  • Включен режим туннелирования трафика между подами (настройки для CNI Cilium, настройки для CNI Flannel).
  • Разрешена передача трафика между podSubnetCIDR, инкапсулированного внутри VXLAN (если выполняется инспектирование и фильтрация трафика внутри VXLAN-туннеля).
  • В случае необходимости интеграции с внешними системами (например, LDAP, SMTP или прочие внешние API), с ними разрешено сетевое взаимодействие.
  • Локальное сетевое взаимодействие полностью разрешено в рамках каждого отдельно взятого узла кластера.
  • Разрешено взаимодействие между узлами по портам, приведенным в таблицах на текущей странице. Обратите внимание, что большинство портов входит в диапазон 4200-4299. При добавлении новых компонентов платформы им будут назначаться порты из этого диапазона (при наличии возможности).

Как проверить текущий порт VXLAN…

d8 k -n d8-cni-cilium get cm cilium-config -o yaml | grep tunnel

Пример вывода команды:

routing-mode: tunnel
tunnel-port: "4298"
tunnel-protocol: vxlan

Изменения, связанные с добавлением, удалением или переопределением портов в таблицах, перечислены в подразделе «Сеть» соответствующей версии DKP на странице «История изменений».

Трафик между master-узлами

Порт Протокол Назначение
2379, 2380 TCP

Репликация etcd
4200 TCP

Вебхук-обработчик Cluster API
4201 TCP

Вебхук-обработчик для cloud-провайдера VMware Cloud Director
4223 TCP

Вебхук-обработчик контроллера Deckhouse

Трафик от master-узлов к узлам

Порт Протокол Назначение
22 TCP

SSH для первичной настройки статичных узлов статичным провайдером
10250 TCP

kubelet
4221 TCP

apiserver bashible для доставки конфигурации на узлы
4227 TCP

Вебхук-обработчик компонента runtime-audit-engine

Трафик от узлов к master-узлам

Порт Протокол Назначение
4234 UDP

NTP для синхронизации времени между узлами
6443 TCP

kube-apiserver для контроллеров, работающих в сетевом пространстве имен узла
4203 TCP

Метрики компонента machine-controller-manager
4219 TCP

Прокси для пакетов registry registry-packages-proxy
4222 TCP

Метрики контроллера Deckhouse

Трафик между узлами

Порт Протокол Назначение
ICMP

ICMP для мониторинга связности между узлами
4202 TCP

Метрики агента sds-node-configurator
4204 TCP

Debug для контроллера Deckhouse
4205 TCP

Метрики модуля ebpf-exporter
4206 TCP

Метрики модуля node-exporter
4207 TCP

Метрики контроллера ingress-nginx для инлета HostWithFailover
4208 TCP

Метрики контроллера ingress-nginx для инлета HostWithFailover
4209 TCP

Метрики управляющего слоя Kubernetes
4210 TCP

Метрики kube-proxy
4211 TCP

Метрики Cluster API
4212 TCP

Метрики модуля runtime-audit-engine
4213 TCP

Метрики kube-router
4214 TCP

API агента модуля sds-replicated-volume
4215 TCP

Метрики агента sds-replicated-volume
4218 TCP/UDP

Синхронизация компонентов speaker модулей metallb через протокол memberlist
4220 TCP

Метрики компонентов speaker модулей metallb
4224 TCP

Метрики node-local-dns
4225 TCP/UDP

Синхронизация компонентов speaker модулей metallb через протокол memberlist
4226 TCP

Метрики компонентов speaker модулей metallb
4229 TCP

Healthcheck CSI-контроллера модуля csi-nfs
4230 TCP

Healthcheck CSI-агентов модуля csi-nfs
4231 TCP

Healthcheck CSI-контроллера модуля csi-hpe
4232 TCP

Healthcheck CSI-агентов модуля csi-hpe
4235 TCP

Healthcheck CSI-контроллера модуля csi-s3
4236 TCP

Healthcheck CSI-агентов модуля csi-s3
4237 TCP

Healthcheck CSI-контроллера модуля csi-scsi-generic
4238 TCP

Healthcheck CSI-агентов модуля csi-scsi-generic
4240 TCP

Порт для процедуры healthcheck соседних узлов в CNI Cilium
4241 TCP

Метрики агентов CNI Cilium
4242 TCP

Метрики оператора CNI Cilium
4244 TCP

API для модуля cilium-hubble
4245 TCP

Метрики chrony-exporter
4246 TCP

Healthcheck CSI-контроллера CephFS модуля csi-ceph
4247 TCP

Healthcheck CSI-контроллера RBD модуля csi-ceph
4248 TCP

Healthcheck CSI-контроллера модуля csi-yadro-tatlin-unified
4249 TCP

Healthcheck CSI-агентов модуля csi-yadro-tatlin-unified
4250 TCP

Healthcheck CSI-контроллера модуля sds-local-volume
4251 TCP

Healthcheck CSI-агентов модуля sds-local-volume
4252 TCP

Healthcheck CSI-агентов RBD модуля csi-ceph
4253 TCP

Healthcheck CSI-агентов CephFS модуля csi-ceph
4254 TCP

Healthcheck CSI-контроллера модуля csi-netapp
4255 TCP

Healthcheck CSI-агентов модуля csi-netapp
4256 TCP

Метрики CSI-контроллера модуля csi-netapp
4257 TCP

Порт API CSI-контроллера модуля csi-netapp
4258 TCP

Порт вебхука CSI-контроллера модуля csi-huawei
4259 TCP

Healthcheck CSI-агентов модуля csi-huawei
4260 TCP

Метрики CSI-контроллера модуля csi-huawei
4261 TCP

Healthcheck CSI-контроллера модуля sds-replicated-volume
4262 TCP

Healthcheck CSI-агентов модуля sds-replicated-volume
4263 TCP

Метрики модуля service-with-healthchecks
4269 TCP

Healthcheck CSI-агентов модуля sds-replicated-volume
4270 TCP

Метрики CSI-агентов модуля sds-replicated-volume
4286 TCP

Метрики Istio CNI
4287 UDP

Порт WireGuard для шифрования трафика в CNI Cilium
4288 TCP

Метрики monitoring-ping
4289 TCP

Метрики monitoring-ping
4295‑4297 UDP

Используется модулем cni-cilium для VXLAN-инкапсуляции трафика между подами при множественной вложенной виртуализации — когда DKP с включенным модулем virtualization развернут внутри виртуальных машин, также созданных в DKP с включенным модулем virtualization
4298 UDP

Используется модулем cni-cilium для VXLAN-инкапсуляции трафика между подами, если кластер был развернут на DKP, начиная с версии 1.71 (для кластеров, развернутых на DKP до версии 1.71, см. примечание для портов 4299/UDP, 8469/UDP и 8472/UDP)
4299 UDP

Для кластеров, развернутых на DKP версий 1.64–1.70. Используется модулем cni-cilium для VXLAN-инкапсуляции трафика между подами. Обновление DKP до более новых версий не изменит занимаемый порт, если не включается модуль virtualization.

Обратите внимание, что в таких кластерах включение модуля virtualization на DKP до версии 1.70 меняет порт на 4298/UDP
7000‑7999 TCP

Репликация DRBD для sds-replicated-volume
8469 UDP

Для кластеров, развернутых на DKP версии 1.63 и ниже с модулем virtualization, включенным до DKP версии 1.63. Используется модулем cni-cilium для VXLAN-инкапсуляции трафика между подами. Обновление DKP до более новых версий не изменит занимаемый порт
8472 UDP

Для кластеров, развернутых на DKP версии 1.63 и ниже. Используется модулем cni-cilium для VXLAN-инкапсуляции трафика между подами. Обновление DKP до более новых версий не изменит занимаемый порт, если не включается модуль virtualization.

Обратите внимание, что в таких кластерах включение модуля virtualization на DKP до версии 1.70 меняет порт:

  • включение модуля virtualization на DKP версии 1.63 и ниже изменит его на 8469/UDP и не изменит при последующих обновлениях DKP
  • включение модуля virtualization на DKP, начиная с версии 1.64, изменит его на 4298/UDP и не изменит при последующих обновлениях DKP

Внешний трафик к master-узлам

Порт Протокол Назначение
22 TCP

SSH для инициализации Deckhouse Kubernetes Platform
6443 TCP

Прямой доступ к API-серверу

Внешний трафик к фронтенд-узлам

Порт Протокол Назначение
80, 443 TCP

Прикладные порты для запросов к Ingress-контроллеру по протоколам HTTP и HTTPS. Обратите внимание, что эти порты настраиваются в ресурсе IngressNginxController и могут отличаться в разных инсталляциях
5416 UDP

OpenVPN
5416 TCP

OpenVPN
10256 TCP

Healthcheck-порт для внешних балансировщиков
30000-32767 TCP

Диапазон портов NodePort

Внешний трафик для всех узлов

Порт Протокол Назначение
53 UDP

DNS
53 TCP

DNS
123 UDP

NTP для синхронизации с внешними серверами точного времени
443 TCP

Container registry