Межсетевые экраны
Firewall (межсетевые экраны) не должны блокировать сетевые соединения. Это требуется для поддержки взаимодействия между компонентами Платформы.
ПОПР - Программное обеспечение первоначального развертывания.
При этом нужно использовать следующие настройки:
| Протокол | Источник | Приемник | Порт приемника | Назначение | |
|---|---|---|---|---|---|
| ICMP | Сервер ПОПР | Все узлы кластера управления | - | Проверка сетевой доступности | |
| ICMP | Сервер ПОПР | Все узлы клиентского кластера | - | Проверка сетевой доступности | |
| TCP | Сервер ПОПР | Все узлы кластера управления | 22 | SSH | |
| TCP | Сервер ПОПР | Все узлы клиентского кластера | 22 | SSH | |
| TCP | Любой | Узлы кластера управления с ролью Master, VIP-адрес ПИП | 6443 | Kubeapi-server | |
| TCP | Любой | Узлы клиентского кластера с ролью Master, VIP-адрес ПИП | 6443 | Kubeapi-server | |
| TCP | Узлы кластера управления с ролью Master | Узлы кластера управления с ролью Master | 2379–2380 | etcd | |
| TCP | Узлы клиентского кластера с ролью Master | Узлы клиентского кластера с ролью Master | 2379–2380 | etcd | |
| TCP | Все узлы кластера управления | Узлы кластера управления с ролью Master | 10250–10259 | Порты по умолчанию, зарезервированные Kubernetes | |
| TCP | Все узлы клиентского кластера | Узлы клиентского кластера с ролью Master | 10250–10259 | Порты по умолчанию, зарезервированные Kubernetes | |
| TCP | Все узлы кластера управления | Узлы кластера управления с ролью Worker | 10250 | Kubelet | |
| TCP | Все узлы клиентского кластера | Узлы кластера управления с ролью Worker | 10250 | Kubelet | |
| TCP | Любой | VIP-адрес ПФКУ на сетевом балансировщике нагрузки | 80 | Прикладные функции кластера | |
| TCP | Любой | VIP-адрес публикации приложений на сетевом балансировщике нагрузки | 443 | Приложения | |
| TCP | Сетевой балансировщик нагрузки | Узлы кластера управления с ролью Worker | 30080, 30443 | Прикладные функции кластера | |
| TCP | Сетевой балансировщик нагрузки | Узлы клиентского кластера с ролью Worker | 443 | Приложения | |
| TCP | Все узлы кластера управления | Все узлы кластера управления | 9100 | Node exporter | |
| TCP | Все узлы клиентского кластера | Все узлы клиентского кластера | 9100 | Prom monitoring | |
| UDP | Все узлы кластера управления | Все узлы кластера управления | 6081 | Туннелирование Geneve | |
| UDP | Все узлы клиентского кластера | Все узлы клиентского кластера | 6081 | Туннелирование Geneve | |
| TCP | Узлы кластера управления с ролью Worker | vCenter с узлами клиентского кластера | 443 | Развертывание новых клиентских кластеров | |
| TCP | Узлы кластера управления с ролью Worker | oVirt Engine с узлами клиентского кластера | 443 | Развертывание новых клиентских кластеров | |
| TCP, UDP | Узлы кластера управления с ролью Worker | Серверы каталогов (Active Directory, LDAP) | 389, 636 | Авторизация пользователей в кластере управления | |
| TCP, UDP | Узлы клиентского кластера с ролью Worker | Серверы каталогов (Active Directory, LDAP) | 389, 636 | Авторизация пользователей клиентском кластере | |
| TCP | Узлы кластера управления с ролью Worker | Сервера кластера объектного хранилища (S3) | 9000 | Резервное копирование | |
| TCP | Узлы клиентского кластера с ролью Worker | Сервера кластера объектного хранилища (S3) | 9000 | Резервное копирование | |
| TCP | Узлы клиентского кластера с ролью Worker | Сервера кластера объектного хранилища (S3) | 9000 | Резервное копирование | |
| TCP | Узлы кластера управления с ролью Worker | Внешний SMTP-сервер | 25, 465, 587 | Отправка уведомлений по электронной почте | |
| TCP | Узлы кластера управления с ролью Worker | Внешний веб-сервер | 80, 443 | Отправка уведомлений на HTTP Webhook |