Межсетевые экраны
Firewall (межсетевые экраны) не должны блокировать сетевые соединения. Это требуется для поддержки взаимодействия между компонентами Платформы.
При этом нужно использовать следующие настройки:
Протокол | Источник | Приемник | Порт приемника | Назначение | |
---|---|---|---|---|---|
ICMP | Сервер Инсталляции (STC) | Все узлы кластера управления | - | Проверка сетевой доступности | |
ICMP | Сервер Инсталляции (STC) | Все узлы клиентского кластера | - | Проверка сетевой доступности | |
TCP | Сервер Инсталляции (STC) | Все узлы кластера управления | 22 | SSH | |
TCP | Сервер Инсталляции (STC) | Все узлы клиентского кластера | 22 | SSH | |
TCP | Любой | Узлы кластера управления с ролью Master, VIP-адрес ПИП | 6443 | Kubeapi-server | |
TCP | Любой | Узлы клиентского кластера с ролью Master, VIP-адрес ПИП | 6443 | Kubeapi-server | |
TCP | Узлы кластера управления с ролью Master | Узлы кластера управления с ролью Master | 2379–2380 | etcd | |
TCP | Узлы клиентского кластера с ролью Master | Узлы клиентского кластера с ролью Master | 2379–2380 | etcd | |
TCP | Все узлы кластера управления | Узлы кластера управления с ролью Master | 10250–10259 | Порты по умолчанию, зарезервированные Kubernetes | |
TCP | Все узлы клиентского кластера | Узлы клиентского кластера с ролью Master | 10250–10259 | Порты по умолчанию, зарезервированные Kubernetes | |
TCP | Все узлы кластера управления | Узлы кластера управления с ролью Worker | 10250 | Kubelet | |
TCP | Все узлы клиентского кластера | Узлы кластера управления с ролью Worker | 10250 | Kubelet | |
TCP | Любой | VIP-адрес ПФКУ на сетевом балансировщике нагрузки | 80 | Прикладные функции кластера | |
TCP | Любой | VIP-адрес публикации приложений на сетевом балансировщике нагрузки | 443 | Приложения | |
TCP | Сетевой балансировщик нагрузки | Узлы кластера управления с ролью Worker | 30080, 30443 | Прикладные функции кластера | |
TCP | Сетевой балансировщик нагрузки | Узлы клиентского кластера с ролью Worker | 443 | Приложения | |
TCP | Все узлы кластера управления | Все узлы кластера управления | 9100 | Node exporter | |
TCP | Все узлы клиентского кластера | Все узлы клиентского кластера | 9100 | Prom monitoring | |
UDP | Все узлы кластера управления | Все узлы кластера управления | 6081 | Туннелирование Geneve | |
UDP | Все узлы клиентского кластера | Все узлы клиентского кластера | 6081 | Туннелирование Geneve | |
TCP | Узлы кластера управления с ролью Worker | vCenter с узлами клиентского кластера | 443 | Развертывание новых клиентских кластеров | |
TCP | Узлы кластера управления с ролью Worker | oVirt Engine с узлами клиентского кластера | 443 | Развертывание новых клиентских кластеров | |
TCP, UDP | Узлы кластера управления с ролью Worker | Серверы каталогов (Active Directory, LDAP) | 389, 636 | Авторизация пользователей в кластере управления | |
TCP, UDP | Узлы клиентского кластера с ролью Worker | Серверы каталогов (Active Directory, LDAP) | 389, 636 | Авторизация пользователей клиентском кластере | |
TCP | Узлы кластера управления с ролью Worker | Сервера кластера объектного хранилища (S3) | 9000 | Резервное копирование | |
TCP | Узлы клиентского кластера с ролью Worker | Сервера кластера объектного хранилища (S3) | 9000 | Резервное копирование | |
TCP | Узлы клиентского кластера с ролью Worker | Сервера кластера объектного хранилища (S3) | 9000 | Резервное копирование | |
TCP | Узлы кластера управления с ролью Worker | Внешний SMTP-сервер | 25, 465, 587 | Отправка уведомлений по электронной почте | |
TCP | Узлы кластера управления с ролью Worker | Внешний веб-сервер | 80, 443 | Отправка уведомлений на HTTP Webhook |