このトピックは、パブリックネットワークを介して Container Service for Kubernetes (ACK) プラットフォームに接続する ACK Edge クラスターのエッジノードに適用されます。許可する必要があるパブリックエンドポイントとポートをリストアップします。
エッジノードに必要なインバウンドポート
ACK Edge クラスターでは、コントロールプレーンとモニタリングコンポーネントがクラウドまたは他のノードからエッジノードにアクセスします。エッジノードのホスト CIDR ブロックで、次のポートを開放する必要があります。
プロトコル | ポート | ソースアドレスまたはソース CIDR ブロック | 注意事項 |
TCP | 10250, 10255 | エッジノードのホスト CIDR ブロック。 | API Server と Metrics Server は kubelet ポートにアクセスします。リクエストは Raven コンポーネントを介してエッジノードにプロキシされるため、エッジノードのホスト CIDR ブロックからのアクセスを許可してください。 |
9100, 9445 | エッジノードのホスト CIDR ブロック。 | Prometheus は Node-Exporter ポートにアクセスします。リクエストは Raven コンポーネントを介してプロキシされるため、エッジノードのホスト CIDR ブロックからのアクセスを許可してください。 | |
UDP | 8472 | エッジノードのホスト CIDR ブロック。 | Flannel VXLAN はノード上の UDP ポート 8472 を使用して VXLAN トンネルを構築します。エッジノードのホスト CIDR ブロックからのアクセスを許可してください。 |
エッジノードに必要なアウトバウンドパブリックエンドポイント
ご利用のインターネットデータセンター (IDC) またはエッジデバイスが ACK Edge クラスターに接続できるようにするには、次の表のパブリックエンドポイントを許可リストに追加する必要があります。これらのエンドポイントにおいて、{region} はクラスターのリージョン ID です。たとえば、中国 (杭州) リージョンの ID は cn-hangzhou です。リージョン ID のリストについては、利用可能なリージョンをご参照ください。
アクセス対象オブジェクト | パブリックエンドポイント | ポート | 説明 |
コンテナーサービスのコントロールプレーン |
|
| コンテナーサービス管理エンドポイント。 |
コンポーネントインストールパッケージ | aliacs-k8s-{region}.oss-{region}.aliyuncs.com |
| OSS ダウンロードエンドポイントです。OSS を使用して、edgeadm、kubelet、CNI、runtime、edgehub などのインストールパッケージをダウンロードします。 |
API Server パブリックエンドポイント | クラスター詳細ページの [基本情報] タブで表示します。 | TCP 6443 | kube-apiserver と対話します。 |
Tunnel-server パブリック SLB (クラスターバージョン 1.26 未満) | クラスターの Service リソースで表示します: kube-system/x-tunnel-server-svc | TCP 10262, 10263 | エッジトンネル。 |
Raven クラウドゲートウェイ SLB | クラスターの Service リソースで表示します:
|
| Raven トンネル。 |
NTP | ntp1.aliyun.com cn.ntp.org.cn | UDP 123、NTP の標準ポートです。 | 時刻同期サーバーのアドレス。 ノードを追加する際に |
システムコンポーネントのイメージアドレス |
| TCP 443 | システムコンポーネントのイメージに必要なアドレス。 |
システムツール | システムツールはオンラインでインストールされます (追加のドメイン名は不要です)。 net-tools, iproute, chrony (または ntpdate), crontabs, pciutils, socat, ebtables, iptables, conntrack-tools | 該当なし | システムは、必要なツールがノードにインストールされているかどうかを確認します。インストールされていない場合、ツールはオンラインでインストールされます。インストールに使用されるエンドポイントは、ノードの yum または apt ソース構成によって異なります。
|