如果您的网络配置使用防火墙,则必须确保基础结构组件可以通过充当某些进程或服务的通信终结点的特定端口相互通信。
| services | protocol | action | start port | end port | comment |
|---|---|---|---|---|---|
| ssh | TCP | allow | 22 | 所有节点都需要开放,主控节点执行ansible脚本时需要使用 | |
| etcd | TCP | allow | 2379 | 2380 | 控制节点需要开放,apiserver与etcd直接通信,所有节点都需要能连通这两个端口(calico Felix) |
| apiserver | TCP | allow | 6443 | 控制节点开放、所有worker节点需要能连通这个端口 | |
| haproxy | TCP | allow | 16433 | haproxy节点开放,云平台的控制节点需要能连通这个端口 | |
| calico | TCP | allow | 9099 | 9100 | 所有节点都需要开放、并且所有节点都需要互通这两个端口 |
| bgp | TCP | allow | 179 | 所有节点都需要开放、并且所有节点都需要互通这个端口 | |
| nodeport | TCP | allow | 30000 | 32767 | worker节点开放即可,主控节点不需要连通这个端口段 |
| master | TCP | allow | 10250 | 10258 | 所有节点都需要开放,并且所有节点都需要互通这两个端口,用于查看worker节点上的容器日志 |
| dns | TCP | allow | 53 | 所有节点都需要开放,但是不需要互通 | |
| dns | UDP | allow | 53 | 所有节点都需要开放,但是不需要互通 | |
| local-registry | TCP | allow | 5000 | offline environment | |
| local-apt | TCP | allow | 5080 | offline environment | |
| rpcbind | TCP | allow | 111 | use NFS | |
| ipip | IPENCAP / IPIP | allow | calico needs to allow the ipip protocol |
备注:控制节点指k8s的控制节点、云平台控制节点指容器云平台的控制节点
