Requisiti di rete
Requisiti di rete esterni
I cluster Anthos su Bare Metal richiedono una connessione a Internet per scopi operativi. I cluster Anthos su Bare Metal recuperano i componenti del cluster da Container Registry e il cluster viene registrato con Connect.
Puoi connetterti a Google utilizzando la rete Internet pubblica (con HTTPS), una rete privata virtuale (VPN) o una Dedicated Interconnect.
Requisiti di rete interni
I cluster Anthos su Bare Metal possono funzionare con la connettività L2 o L3 tra i nodi del cluster e richiedono che i nodi del bilanciatore del carico siano nello stesso dominio L2. I nodi del bilanciatore del carico possono essere nodi del piano di controllo o set di nodi dedicato. Consulta la pagina Scelta e configurazione dei bilanciatori del carico per informazioni sulla configurazione.
Il requisito di rete L2 si applica indipendentemente dal fatto che il bilanciatore del carico venga eseguito sul pool di nodi del piano di controllo o su un set dedicato di nodi.
I requisiti per le macchine del bilanciatore del carico sono:
- Tutti i bilanciatori del carico per un determinato cluster si trovano nello stesso dominio L2.
- Tutti i VIP devono trovarsi nella subnet della macchina del bilanciatore del carico e possono essere instradati al gateway della subnet.
- Gli utenti sono responsabili del traffico in entrata del bilanciatore del carico.
Deployment di un cluster utente singolo con disponibilità elevata
Il seguente diagramma illustra una serie di concetti di networking chiave per i cluster Anthos su Bare Metal in una possibile configurazione di rete.
- I nodi del piano di controllo eseguono bilanciatori del carico e si trovano tutti sulla stessa rete L2, mentre altre connessioni, inclusi i nodi worker, richiedono solo la connettività L3.
- I file di configurazione definiscono gli indirizzi IP per i pool di nodi worker, nonché gli indirizzi IP virtuali per i servizi, per il traffico in entrata e per il piano di controllo (API Kubernetes).
- È necessaria anche una connessione a Google Cloud.
Utilizzo porta
Questa sezione mostra come vengono utilizzate le porte UDP e TCP sui nodi del cluster e del bilanciatore del carico.
Nodi master
| Protocollo | Direzione | Intervallo porte | Finalità | Utilizzatori |
|---|---|---|---|---|
| UDP | In entrata | 6081 | Incapsulamento GENEVE | Indipendente |
| TCP | In entrata | 22 | Provisioning e aggiornamenti dei nodi dei cluster di amministrazione | Workstation di amministrazione |
| TCP | In entrata | 443 | Gestione dei cluster | Nodi del cluster di amministrazione |
| TCP | In entrata | 6443 | Server API di Kubernetes | Tutti |
| TCP | In entrata | 6444 | Piano di controllo ad alta disponibilità | Tutti |
| TCP | In entrata | 2379 - 2380 | API etcd server client | kube-apiserver, etcd |
| TCP | In entrata | 10250 | API kubelet | Self, piano di controllo |
| TCP | In entrata | 10251 | kube-scheduler | Indipendente |
| TCP | In entrata | 10252 | kube-controller-manager | Indipendente |
| TCP | Entrambi | 4240 | Controllo di integrità CNI | Tutti |
Nodi worker
| Protocollo | Direzione | Intervallo porte | Finalità | Utilizzatori |
|---|---|---|---|---|
| TCP | In entrata | 22 | Provisioning e aggiornamenti dei nodi dei cluster utente | Nodi del cluster di amministrazione |
| UDP | In entrata | 6081 | Incapsulamento GENEVE | Indipendente |
| TCP | In entrata | 10250 | API kubelet | Self, piano di controllo |
| TCP | In entrata | 30.000-32.767 | Servizi NodePort | Indipendente |
| TCP | Entrambi | 4240 | Controllo di integrità CNI | Tutti |
Nodi bilanciatore del carico
| Protocollo | Direzione | Intervallo porte | Finalità | Utilizzatori |
|---|---|---|---|---|
| UDP | In entrata | 6081 | Incapsulamento GENEVE | Indipendente |
| TCP | In entrata | 6444 | Server API di Kubernetes | Tutti |
| TCP | Entrambi | 4240 | Controllo di integrità CNI | Tutti |
| TCP | In entrata | 7946 | Controllo di integrità LB in metallo | Nodi LB |
| UDP | In entrata | 7946 | Controllo di integrità LB in metallo | Nodi LB |