Требования к сетевым доступам
Firewall (межсетевые экраны) не должны блокировать сетевые соединения. Это требуется для поддержки взаимодействия между компонентами Платформы.
Схемы межсетевого взаимодействия
Shturval v2 с внутренним балансировщиком для KubeAPI и внешним балансировщиком для Ingress и CoreHA для клиентского кластера
Схема
Описание
| Source | Destination | Порт | Протокол | Назначение |
|---|---|---|---|---|
| Admin | Балансировщик нагрузки (Ingress) | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | Балансировщик нагрузки (Ingress) | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | VIP Control Plane узлов (KubeAPI) | 6443 | TCP | Администрирование и управление кластером |
| Admin | Кластер управления | 22 | TCP | Инсталляция кластера управления по SSH |
| Узлы кластера (Control Plane, Worker) | VIP Control Plane узла (KubeAPI) | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Узлы кластера | Балансировщик нагрузки (Ingress) | 80 (опционально) | TCP | Взаимодействие кластера с Ingress-controller |
| Узлы кластера | Балансировщик нагрузки (Ingress) | 443 | TCP | Взаимодействие кластера с Ingress-controller |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 30080 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 30443 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Control Plane узлы | Worker-узлы (Kubelet) | 10250 | TCP | Компонент Kubernetes для взаимодействия с kubelet |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 4240 | TCP | Кластерная сеть (Cilium) |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | ICMP | Кластерная сеть (Cilium) | |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 6081 | UDP | Кластерная сеть (Cilium) |
| Worker-узлы кластера управления | S3 (Simple Storage Service) | 9000 | TCP | Взаимодействие с хранилищем S3 (Velero) |
| Control Plane узел | Control Plane узлы (Etcd) | 2379 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Etcd) | 2380 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Kube components) | 10250, 10257, 10259 | TCP | Компонент Kubernetes для взаимодействия с kubelet, kube-scheduler, kube-controller-manager |
| Worker-узлы кластера управления | Active Directory | 389 | TCP/UDP | Взаимодействие с Active Directory, LDAP |
| Worker-узлы кластера управления | Active Directory | 636 | TCP | Взаимодействие с Active Directory, LDAP |
| Кластер управления | VIP Control Plane узлов клиентского кластера (KubeAPI) | 6443 | TCP | Взаимодействие кластера управления с клиентским кластером |
| Кластер управления | Клиентский кластер | 22 | TCP | Инсталляция клиентского кластера по SSH |
| Клиентский кластер | Балансировщик нагрузки | 443 | TCP | Валидация токена клиентского кластера через кластер управления |
| Кластер управления | Балансировщик нагрузки | 443 | TCP | Валидация токена кластера управления |
| Балансировщик нагрузки | VIP Control Plane узлов клиентского кластера (CoreHA (DNS)) | 1053 | TCP | Динамическое добавление бэкендов в HAProxy |
| Клиентский кластер | Балансировщик нагрузки (logs, metrics) | 443 | TCP | Взаимодействие кластера с Ingress-controller для перенаправления метрик, логов |
| Клиентский кластер | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Keycloak, Blitz | 443 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
| Кластер управления | Keycloak, Blitz | 80 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
Shturval v2 с внутренним балансировщиком для KubeAPI и внешним балансировщиком для Ingress
Схема
Описание
| Source | Destination | Порт | Протокол | Назначение |
|---|---|---|---|---|
| Admin | Балансировщик нагрузки (Ingress) | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | Балансировщик нагрузки (Ingress) | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | VIP Control Plane узлов (KubeAPI) | 6443 | TCP | Администрирование и управление кластером |
| Admin | Кластер управления | 22 | TCP | Инсталляция кластера управления по SSH |
| Узлы кластера (Control Plane, Worker) | VIP Control Plane узла (KubeAPI) | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Control Plane узел кластера управления | Балансировщик нагрузки (Ingress) | 80 (опционально) | TCP | Взаимодействие кластера управления с Ingress-controller |
| Control Plane узел кластера управления | Балансировщик нагрузки (Ingress) | 443 | TCP | Взаимодействие кластера управления с Ingress-controller |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 30080 (опционально) | TCP | Взаимодействие кластера с Ingress-controller |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 30443 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Control Plane узлы | Worker-узлы (Kubelet) | 10250 | TCP | Компонент Kubernetes для взаимодействия с kubelet |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 4240 | TCP | Кластерная сеть (Cilium) |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | ICMP | Кластерная сеть (Cilium) | |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 6081 | UDP | Кластерная сеть (Cilium) |
| Worker-узлы | S3 (Simple Storage Service) | 9000 | TCP | Взаимодействие с хранилищем S3 (Velero) |
| Control Plane узел | Control Plane узлы (Etcd) | 2379 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Etcd) | 2380 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Kube components) | 10250, 10257, 10259 | TCP | Компонент Kubernetes для взаимодействия с kubelet, kube-scheduler, kube-controller-manager |
| Worker-узлы кластера управления | Active Directory | 389 | TCP/UDP | Взаимодействие с Active Directory, LDAP |
| Worker-узлы кластера управления | Active Directory | 636 | TCP | Взаимодействие с Active Directory, LDAP |
| Кластер управления | VIP Control Plane узлов клиентского кластера (KubeAPI) | 6443 | TCP | Взаимодействие кластера управления с клиентским кластером |
| Кластер управления | Клиентский кластер | 22 | TCP | Инсталляция клиентского кластера по SSH |
| Клиентский кластер | Балансировщик нагрузки | 443 | TCP | Валидация токена клиентского кластера через кластер управления |
| Кластер управления | Балансировщик нагрузки | 443 | TCP | Валидация токена кластера управления |
| Клиентский кластер | Балансировщик нагрузки (logs, metrics) | 443 | TCP | Взаимодействие кластера с Ingress-controller для перенаправления метрик, логов |
| Клиентский кластер | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Keycloak, Blitz | 443 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
| Кластер управления | Keycloak, Blitz | 80 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
Shturval v2 с внутренним балансировщиком для KubeAPI и Ingress
Схема
Описание
| Source | Destination | Порт | Протокол | Назначение |
|---|---|---|---|---|
| Admin | VIP Worker-узлов (Ingress) | 80 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | VIP Worker-узлов (Ingress) | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | VIP Control Plane узлов (KubeAPI) | 6443 | TCP | Администрирование и управление кластером |
| Admin | Кластер управления | 22 | TCP | Инсталляция кластера управления по SSH |
| Узлы кластера (Control Plane, Worker) | VIP Control Plane узла (KubeAPI) | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Узлы кластера | VIP Worker-узел (Ingress) | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Узлы кластера | VIP Worker-узел (Ingress) | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Control Plane узлы | Worker-узлы (Kubelet) | 10250 | TCP | Компонент Kubernetes для взаимодействия с kubelet |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 4240 | TCP | Кластерная сеть (Cilium) |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | ICMP | Кластерная сеть (Cilium) | |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 6081 | UDP | Кластерная сеть (Cilium) |
| Worker-узлы | S3 (Simple Storage Service) | 9000 | TCP | Взаимодействие с хранилищем S3 (Velero) |
| Control Plane узел | Control Plane узлы (Etcd) | 2379 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Etcd) | 2380 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Kube components) | 10250, 10257, 10259 | TCP | Компонент Kubernetes для взаимодействия с kubelet, kube-scheduler, kube-controller-manager |
| Worker-узлы кластера управления | Active Directory | 389 | TCP/UDP | Взаимодействие с Active Directory, LDAP |
| Worker-узлы кластера управления | Active Directory | 636 | TCP | Взаимодействие с Active Directory, LDAP |
| Кластер управления | VIP Control Plane узлов клиентского кластера (KubeAPI) | 6443 | TCP | Взаимодействие кластера управления с клиентским кластером |
| Кластер управления | Клиентский кластер | 22 | TCP | Инсталляция клиентского кластера по SSH |
| Клиентский кластер | VIP Worker-узел | 443 | TCP | Валидация токена клиентского кластера через кластер управления |
| Клиентский кластер | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Keycloak, Blitz | 443 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
| Кластер управления | Keycloak, Blitz | 80 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
Shturval v2 с внешним балансировщиком для KubeAPI и Ingress
Схема
Описание
| Source | Destination | Порт | Протокол | Назначение |
|---|---|---|---|---|
| Admin | Балансировщик нагрузки (Ingress) | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | Балансировщик нагрузки (Ingress) | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | Балансировщик нагрузки (KubeAPI) | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Admin | Кластер управления | 22 | TCP | Инсталляция кластера управления по SSH |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 30080 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 30443 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (KubeAPI) | Control Plane узлы | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Узлы кластера | Балансировщик нагрузки кластера управления (Ingress) | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Узлы кластера | Балансировщик нагрузки кластера управления (Ingress) | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Control Plane узлы | Балансировщик нагрузки (KubeAPI) | 6443 | TCP | Взаимодействие кластера с Ingress-controller |
| Control Plane узлы | Worker-узлы (Kubelet) | 10250 | TCP | Компонент Kubernetes для взаимодействия с kubelet |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 4240 | TCP | Кластерная сеть (Cilium) |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | ICMP | Кластерная сеть (Cilium) | |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 6081 | UDP | Кластерная сеть (Cilium) |
| Worker-узлы | S3 (Simple Storage Service) | 9000 | TCP | Взаимодействие с хранилищем S3 (Velero) |
| Control Plane узел | Control Plane узлы (Etcd) | 2379 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Etcd) | 2380 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Kube components) | 10250, 10257, 10259 | TCP | Компонент Kubernetes для взаимодействия с kubelet, kube-scheduler, kube-controller-manager |
| Worker-узлы кластера управления | Active Directory | 389 | TCP/UDP | Взаимодействие с Active Directory, LDAP |
| Worker-узлы кластера управления | Active Directory | 636 | TCP | Взаимодействие с Active Directory, LDAP |
| Worker-узлы | Балансировщик нагрузки (KubeAPI) | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Кластер управления | Балансировщик нагрузки (KubeAPI) | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Кластер управления | Клиентский кластер | 22 | TCP | Инсталляция клиентского кластера по SSH |
| Клиентский кластер | Балансировщик нагрузки | 443 | TCP | Валидация токена клиентского кластера через кластер управления |
| Кластер управления | Балансировщик нагрузки | 443 | TCP | Валидация токена кластера управления |
| Клиентский кластер | Балансировщик нагрузки (logs, metrics) | 443 | TCP | Взаимодействие кластера с Ingress-controller для перенаправления метрик, логов |
| Клиентский кластер | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Keycloak, Blitz | 443 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
| Кластер управления | Keycloak, Blitz | 80 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
Shturval v2 stand-alone кластер с внутренним балансировщиком для KubeAPI и Ingress
Схема
Описание
| Source | Destination | Порт | Протокол | Назначение |
|---|---|---|---|---|
| Admin | VIP Worker-узлов (Ingress) | 80 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | VIP Worker-узлов (Ingress) | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | VIP Control Plane узлов (KubeAPI) | 6443 | TCP | Администрирование и управление кластером |
| Admin | Кластер управления | 22 | TCP | Инсталляция кластера управления по SSH |
| Кластер управления | Балансировщик нагрузки | 443 | TCP | Валидация токена кластера управления |
| Узлы кластера (Control Plane, Worker) | VIP Control Plane узла (KubeAPI) | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Узлы кластера | VIP Control Plane узла (Ingress) | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Узлы кластера | VIP Control Plane узла (Ingress) | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Control Plane узлы | Worker-узлы (Kubelet) | 10250 | TCP | Компонент Kubernetes для взаимодействия с kubelet |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 4240 | TCP | Кластерная сеть (Cilium) |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | ICMP | Кластерная сеть (Cilium) | |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 6081 | UDP | Кластерная сеть (Cilium) |
| Worker-узлы | S3 (Simple Storage Service) | 9000 | TCP | Взаимодействие с хранилищем S3 (Velero) |
| Control Plane узел | Control Plane узлы (Etcd) | 2379 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Etcd) | 2380 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Kube components) | 10250, 10257, 10259 | TCP | Компонент Kubernetes для взаимодействия с kubelet, kube-scheduler, kube-controller-manager |
| Worker-узлы | Active Directory | 389 | TCP/UDP | Взаимодействие с Active Directory, LDAP |
| Worker-узлы | Active Directory | 636 | TCP | Взаимодействие с Active Directory, LDAP |
| Кластер управления | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Keycloak, Blitz | 443 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
| Кластер управления | Keycloak, Blitz | 80 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
Shturval v2 stand-alone кластер с внутренним балансировщиком для KubeAPI и внешним балансировщиком для Ingress
Схема
Описание
| Source | Destination | Порт | Протокол | Назначение |
|---|---|---|---|---|
| Admin | Балансировщик нагрузки (Ingress) | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | Балансировщик нагрузки (Ingress) | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | VIP Control Plane узлов (KubeAPI) | 6443 | TCP | Администрирование и управление кластером |
| Admin | Кластер управления | 22 | TCP | Инсталляция кластера управления по SSH |
| Узлы кластера | Балансировщик нагрузки (Ingress) | 80 | TCP | Взаимодействие кластера управления с Ingress-controller |
| Узлы кластера | Балансировщик нагрузки (Ingress) | 443 | TCP | Взаимодействие кластера управления с Ingress-controller |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 30080 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 30443 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Узлы кластера (Control Plane, Worker) | VIP Control Plane узла (KubeAPI) | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Control Plane узлы | Worker-узлы (Kubelet) | 10250 | TCP | Компонент Kubernetes для взаимодействия с kubelet |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 4240 | TCP | Кластерная сеть (Cilium) |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | ICMP | Кластерная сеть (Cilium) | |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 6081 | UDP | Кластерная сеть (Cilium) |
| Worker-узлы | S3 (Simple Storage Service) | 9000 | TCP | Взаимодействие с хранилищем S3 (Velero) |
| Control Plane узел | Control Plane узлы (Etcd) | 2379 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Etcd) | 2380 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Kube components) | 10250, 10257, 10259 | TCP | Компонент Kubernetes для взаимодействия с kubelet, kube-scheduler, kube-controller-manager |
| Worker-узлы | Active Directory | 389 | TCP/UDP | Взаимодействие с Active Directory, LDAP |
| Worker-узлы | Active Directory | 636 | TCP | Взаимодействие с Active Directory, LDAP |
| Кластер управления | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Keycloak, Blitz | 443 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
| Кластер управления | Keycloak, Blitz | 80 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
Shturval v2 DR-платформа с внутренним балансировщиком для KubeAPI и внешним балансировщиком для Ingress
Схема
Описание
| Source | Destination | Порт | Протокол | Назначение |
|---|---|---|---|---|
| Admin | Балансировщик нагрузки (Ingress) | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | Балансировщик нагрузки (Ingress) | 443 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | VIP Control Plane узлов (KubeAPI) | 6443 | TCP | Администрирование и управление кластером |
| Admin | Кластер управления | 22 | TCP | Инсталляция кластера управления по SSH |
| Узлы кластера (Control Plane, Worker) | VIP Control Plane узла (KubeAPI) | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Узлы кластера | Балансировщик нагрузки (Ingress) | 80 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Узлы кластера | Балансировщик нагрузки (Ingress) | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 30080 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 30443 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 443 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Control Plane узлы | Worker-узлы (Kubelet) | 10250 | TCP | Компонент Kubernetes для взаимодействия с kubelet |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 4240 | TCP | Кластерная сеть (Cilium) |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | ICMP | Кластерная сеть (Cilium) | |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 6081 | UDP | Кластерная сеть (Cilium) |
| Worker-узлы | S3 (Simple Storage Service) | 9000 | TCP | Взаимодействие с хранилищем S3 (Velero) |
| Worker-узлы DR-кластера управления | S3 (Simple Storage Service) | 9000 | TCP/UDP | Взаимодействие с хранилищем S3 (Velero) |
| Control Plane узел | Control Plane узлы (Etcd) | 2379 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Etcd) | 2380 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Kube components) | 10250, 10257, 10259 | TCP | Компонент Kubernetes для взаимодействия с kubelet, kube-scheduler, kube-controller-manager |
| Worker-узлы DR-кластера управления | Active Directory | 389 | TCP/UDP | Взаимодействие с Active Directory, LDAP |
| Worker-узлы DR-кластера управления | Active Directory | 636 | TCP | Взаимодействие с Active Directory, LDAP |
| Worker-узлы кластера управления | Active Directory | 389 | TCP/UDP | Взаимодействие с Active Directory, LDAP |
| Worker-узлы кластера управления | Active Directory | 636 | TCP | Взаимодействие с Active Directory, LDAP |
| Кластер управления | VIP Control Plane узлов клиентского кластера (KubeAPI) | 6443 | TCP | Взаимодействие кластера управления с клиентским кластером |
| DR-кластер управления | VIP Control Plane узлов клиентского кластера (KubeAPI) | 6443 | TCP | Взаимодействие кластера управления с клиентским кластером |
| Кластер управления | Клиентский кластер | 22 | TCP | Инсталляция клиентского кластера по SSH |
| DR-кластер управления | Клиентский кластер | 22 | TCP | Инсталляция клиентского кластера по SSH |
| Клиентский кластер | Балансировщик нагрузки | 443 | TCP | Валидация токена клиентского кластера через кластер управления |
| Кластер управления | Балансировщик нагрузки | 443 | TCP | Валидация токена кластера управления |
| DR-кластер управления | Балансировщик нагрузки | 443 | TCP | Валидация токена DR-кластера управления |
| Клиентский кластер | Балансировщик нагрузки (logs, metrics) | 443 | TCP | Взаимодействие кластера с Ingress-controller для перенаправления метрик, логов |
| Клиентский кластер | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| DR-кластер управления | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Keycloak, Blitz | 443 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
| Кластер управления | Keycloak, Blitz | 80 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
| DR-кластер управления | Keycloak, Blitz | 443 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
| DR-кластер управления | Keycloak, Blitz | 80 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
oVirt, vSphere c внутренним балансировщиком для KubeAPI и внешним для Ingress
Схема
Описание
| Source | Destination | Порт | Протокол | Назначение |
|---|---|---|---|---|
| Admin | Балансировщик нагрузки (Ingress) | 80 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | Балансировщик нагрузки (Ingress) | 443 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | VIP Control Plane узлов (KubeAPI) | 6443 | TCP | Администрирование и управление кластером |
| Admin | Кластер управления | 22 | TCP | Инсталляция кластера управления по SSH |
| Узлы кластера (Control Plane, Worker) | VIP Control Plane узла (KubeAPI) | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Узлы кластера | Балансировщик нагрузки (Ingress) | 80 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Узлы кластера | Балансировщик нагрузки (Ingress) | 443 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Клиентский кластер | Балансировщик нагрузки | 443 | TCP | Валидация токена клиентского кластера через кластер управления |
| Кластер управления | Балансировщик нагрузки | 443 | TCP | Валидация токена кластера управления |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 30080 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 30443 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Control Plane узлы | Worker-узлы (Kubelet) | 10250 | TCP | Компонент Kubernetes для взаимодействия с kubelet |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 4240 | TCP | Кластерная сеть (Cilium) |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | ICMP | Кластерная сеть (Cilium) | |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 6081 | UDP | Кластерная сеть (Cilium) |
| Worker-узлы | S3 (Simple Storage Service) | 9000 | TCP | Взаимодействие с хранилищем S3 (Velero) |
| Control Plane узел | Control Plane узлы (Etcd) | 2379 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Etcd) | 2380 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Kube components) | 10250, 10257, 10259 | TCP | Компонент Kubernetes для взаимодействия с kubelet, kube-scheduler, kube-controller-manager |
| Worker-узлы кластера управления | Active Directory | 389 | TCP/UDP | Взаимодействие с Active Directory, LDAP |
| Worker-узлы кластера управления | Active Directory | 636 | TCP | Взаимодействие с Active Directory, LDAP |
| Кластер управления | VIP Control Plane узлов клиентского кластера (KubeAPI) | 6443 | TCP | Взаимодействие кластера управления с клиентским кластером |
| Кластер управления | Клиентский кластер | 22 | TCP | Инсталляция клиентского кластера по SSH |
| Worker-узлы кластера управления | oVirt Engine | 443 | TCP | Создание кластеров с помощью провайдера oVirt |
| Worker-узлы кластера управления | vCenter | 443 | TCP | Создание кластеров с помощью провайдера vSphere |
| Клиентский кластер | Балансировщик нагрузки (logs, metrics) | 443 | TCP | Взаимодействие кластера с Ingress-controller для перенаправления метрик, логов |
| Клиентский кластер | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Keycloak, Blitz | 443 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
| Кластер управления | Keycloak, Blitz | 80 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
oVirt, vSphere c внутренним балансировщиком для KubeAPI, внешним для Ingress и CoreHA в клиентском кластере
Схема
Описание
| Source | Destination | Порт | Протокол | Назначение |
|---|---|---|---|---|
| Admin | Балансировщик нагрузки (Ingress) | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | Балансировщик нагрузки (Ingress) | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | VIP Control Plane узлов (KubeAPI) | 6443 | TCP | Администрирование и управление кластером |
| Admin | Кластер управления | 22 | TCP | Инсталляция кластера управления по SSH |
| Узлы кластера (Control Plane, Worker) | VIP Control Plane узла (KubeAPI) | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 30080 (опционально) | TCP | Взаимодействие кластера управления с Ingress-controller |
| Узлы кластера | Балансировщик нагрузки (Ingress) | 80 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Узлы кластера | Балансировщик нагрузки (Ingress) | 443 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 30443 (опционально) | TCP | Взаимодействие кластера управления с Ingress-controller |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 443 | TCP | Взаимодействие кластера управления с Ingress-controller |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 80 | TCP | Взаимодействие кластера управления с Ingress-controller |
| Control Plane узлы | Worker-узлы (Kubelet) | 10250 | TCP | Компонент Kubernetes для взаимодействия с kubelet |
| Клиентский кластер | Балансировщик нагрузки | 443 | TCP | Валидация токена клиентского кластера через кластер управления |
| Кластер управления | Балансировщик нагрузки | 443 | TCP | Валидация токена кластера управления |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 4240 | TCP | Кластерная сеть (Cilium) |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | ICMP | Кластерная сеть (Cilium) | |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 6081 | UDP | Кластерная сеть (Cilium) |
| Worker-узлы кластера управления | S3 (Simple Storage Service) | 9000 | TCP | Взаимодействие с хранилищем S3 (Velero) |
| Control Plane узел | Control Plane узлы (Etcd) | 2379 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Etcd) | 2380 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Kube components) | 10250, 10257, 10259 | TCP | Компонент Kubernetes для взаимодействия с kubelet, kube-scheduler, kube-controller-manager |
| Worker-узлы кластера управления | Active Directory | 389 | TCP/UDP | Взаимодействие с Active Directory, LDAP |
| Worker-узлы кластера управления | Active Directory | 636 | TCP | Взаимодействие с Active Directory, LDAP |
| Балансировщик нагрузки | VIP Control Plane узлов клиентского кластера (CoreHA (DNS)) | 1053 | TCP | Динамическое добавление бэкендов в HAProxy. |
| Worker-узлы кластера управления | oVirt Engine | 443 | TCP | Создание кластеров с помощью провайдера oVirt |
| Worker-узлы кластера управления | vCenter | 443 | TCP | Создание кластеров с помощью провайдера vSphere |
| Клиентский кластер | Балансировщик нагрузки (logs, metrics) | 443 | TCP | Взаимодействие кластера с Ingress-controller для перенаправления метрик, логов |
| Клиентский кластер | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Keycloak, Blitz | 443 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
| Кластер управления | Keycloak, Blitz | 80 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
oVirt, vSphere и внутренним балансировщиком для KubeAPI и Ingress
Схема
Описание
| Source | Destination | Порт | Протокол | Назначение |
|---|---|---|---|---|
| Admin | VIP Worker-узлов (Ingress) | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | VIP Worker-узлов (Ingress) | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | VIP Control Plane узлов (KubeAPI) | 6443 | TCP | Администрирование и управление кластером |
| Admin | Кластер управления | 22 | TCP | Инсталляция кластера управления по SSH |
| Узлы кластера (Control Plane, Worker) | VIP Control Plane узла (KubeAPI) | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Control Plane узлы | Worker-узлы (Kubelet) | 10250 | TCP | Компонент Kubernetes для взаимодействия с kubelet |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 4240 | TCP | Кластерная сеть (Cilium) |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | ICMP | Кластерная сеть (Cilium) | |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 6081 | UDP | Кластерная сеть (Cilium) |
| Worker-узлы | S3 (Simple Storage Service) | 9000 | TCP | Взаимодействие с хранилищем S3 (Velero) |
| Control Plane узел | Control Plane узлы (Etcd) | 2379 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Etcd) | 2380 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Kube components) | 10250, 10257, 10259 | TCP | Компонент Kubernetes для взаимодействия с kubelet, kube-scheduler, kube-controller-manager |
| Worker-узлы кластера управления | Active Directory | 389 | TCP/UDP | Взаимодействие с Active Directory, LDAP |
| Worker-узлы кластера управления | Active Directory | 636 | TCP | Взаимодействие с Active Directory, LDAP |
| Кластер управления | VIP Control Plane узлов клиентского кластера (KubeAPI) | 6443 | TCP | Взаимодействие кластера управления с клиентским кластером |
| Узлы кластера | VIP Worker-узлов кластера управления (Ingress) | 80 | TCP | Взаимодействие кластера с Ingress-controller |
| Узлы кластера | VIP Worker-узлов кластера управления (Ingress) | 443 | TCP | Взаимодействие кластера с Ingress-controller |
| Клиентский кластер | VIP Worker-узлов кластера управления | 443 | TCP | Валидация токена клиентского кластера через кластер управления |
| Worker-узлы кластера управления | oVirt Engine | 443 | TCP | Создание кластеров с помощью провайдера oVirt |
| Worker-узлы кластера управления | vCenter | 443 | TCP | Создание кластеров с помощью провайдера vSphere |
| Клиентский кластер | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Keycloak, Blitz | 443 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
| Кластер управления | Keycloak, Blitz | 80 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
OpenStack, Basis Dynamix, Yandex Cloud, vCloud Director с внешним балансировщиком для KubeAPI и Ingress
Схема
Описание
| Source | Destination | Порт | Протокол | Назначение |
|---|---|---|---|---|
| Admin | Балансировщик нагрузки (Ingress) | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | Балансировщик нагрузки (Ingress) | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Admin | Балансировщик нагрузки (KubeAPI) | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Admin | Кластер управления | 22 | TCP | Инсталляция кластера управления по SSH |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 30080 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 30443 (опционально) | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (Ingress) | Worker-узлы | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Балансировщик нагрузки (KubeAPI) | Control Plane узлы | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Клиентский кластер | Балансировщик нагрузки | 443 | TCP | Валидация токена клиентского кластера через кластер управления |
| Кластер управления | Балансировщик нагрузки | 443 | TCP | Валидация токена кластера управления |
| Узлы кластера | Балансировщик нагрузки кластера управления (Ingress) | 80 | TCP | Взаимодействие с Ingress-controller кластера |
| Узлы кластера | Балансировщик нагрузки кластера управления (Ingress) | 443 | TCP | Взаимодействие с Ingress-controller кластера |
| Control Plane узлы | Балансировщик нагрузки (KubeAPI) | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Worker-узлы | Балансировщик нагрузки (KubeAPI) | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Control Plane узлы | Worker-узлы (Kubelet) | 10250 | TCP | Компонент Kubernetes для взаимодействия с kubelet |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 4240 | TCP | Кластерная сеть (Cilium) |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | ICMP | Кластерная сеть (Cilium) | |
| Узлы кластера (Control Plane, Worker) | Узлы кластера (Control Plane, Worker) | 6081 | UDP | Кластерная сеть (Cilium) |
| Worker-узлы | S3 (Simple Storage Service) | 9000 | TCP | Взаимодействие с хранилищем S3 (Velero) |
| Control Plane узел | Control Plane узлы (Etcd) | 2379 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Etcd) | 2380 | TCP | Взаимодействие узлов кластера ETCD |
| Control Plane узел | Control Plane узлы (Kube components) | 10250, 10257, 10259 | TCP | Компонент Kubernetes для взаимодействия с kubelet, kube-scheduler, kube-controller-manager |
| Worker-узлы кластера управления | Active Directory | 389 | TCP/UDP | Взаимодействие с Active Directory, LDAP |
| Worker-узлы кластера управления | Active Directory | 636 | TCP | Взаимодействие с Active Directory, LDAP |
| Кластер управления | Балансировщик нагрузки (KubeAPI) | 6443 | TCP | Компоненты Kubernetes и STD (модуль управления конфигурацией узлов) для взаимодействия с кластером |
| Worker-узлы кластера управления | oVirt Engine | 443 | TCP | Создание кластеров с помощью провайдера oVirt |
| Worker-узлы кластера управления | vCenter | 443 | TCP | Создание кластеров с помощью провайдера vSphere |
| Worker-узлы кластера управления | Yandex Cloud | 443 | TCP | Создание кластеров с помощью провайдера Yandex Cloud |
| Клиентский кластер | Балансировщик нагрузки (logs, metrics) | 443 | TCP | Взаимодействие кластера с Ingress-controller для перенаправления метрик, логов |
| Клиентский кластер | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Registry | 443 | TCP | Взаимодействие кластера с внешним репозиторием |
| Кластер управления | Keycloak, Blitz | 443 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |
| Кластер управления | Keycloak, Blitz | 80 | TCP | Аутентификация в платформе с внешним провайдером (Keycloak, Blitz) |