Requisitos de rede
Requisitos de rede externa
Os clusters do Anthos em bare metal exigem uma conexão com a Internet para fins operacionais. Os clusters do Anthos em bare metal recuperam componentes de clusters do Container Registry, e o cluster é registrado com o Connect.
É possível se conectar ao Google usando a Internet pública (com HTTPS), por meio de uma rede privada virtual (VPN) ou por meio de uma Interconexão dedicada.
Requisitos de rede interna
Os clusters do Anthos em bare metal podem funcionar com conectividade L2 ou L3 entre nós do cluster e exigem que os nós do balanceador de carga estejam no mesmo domínio L2. Os nós do balanceador de carga podem ser os nós do plano de controle ou um conjunto dedicado de nós. Para informações de configuração, consulte Como escolher e configurar balanceadores de carga.
O requisito de rede L2 se aplica se você executar o balanceador de carga no pool de nós do plano de controle ou em um conjunto de nós dedicado.
Os requisitos para máquinas com balanceador de carga são:
- Todos os balanceadores de carga para um determinado cluster estão no mesmo domínio L2.
- Todos os VIPs precisam estar na sub-rede da máquina do balanceador de carga e roteáveis para o gateway da sub-rede.
- Os usuários são responsáveis por permitir o tráfego de entrada no balanceador de carga.
Implantação de cluster de usuário único com alta disponibilidade
No diagrama a seguir, ilustramos vários conceitos de rede importantes para os clusters Anthos em bare metal em uma configuração de rede possível.
- Os nós do plano de controle executam balanceadores de carga e todos estão na mesma rede L2, enquanto outras conexões, incluindo nós de trabalho, só precisam de conectividade L3.
- Os arquivos de configuração definem endereços IP para pools de nós de trabalho, bem como endereços IP virtuais para serviços, entrada e acesso ao plano de controle (API Kubernetes).
- Também é necessário ter uma conexão com o Google Cloud.
Uso da porta
Nesta seção, mostramos como as portas UDP e TCP são usadas nos nós do balanceador de carga e de cluster.
Nós mestres
| Protocolo | Direção | Intervalo de portas | Finalidade | Usada por |
|---|---|---|---|---|
| UDP | Entrada | 6081 | Encapsulamento GENEVE | Só para mim |
| TCP | Entrada | 22 | Provisionamento e atualizações de nós de cluster de administrador | Estação de trabalho do administrador |
| TCP | Entrada | 443 | Gerenciamento de clusters | Nós do cluster de administrador |
| TCP | Entrada | 6443 | Servidor da API Kubernetes | Tudo |
| TCP | Entrada | 6444 | HA do plano de controle | Tudo |
| TCP | Entrada | 2379 - 2380 | API do servidor etcd | kube-apiserver e etcd |
| TCP | Entrada | 10250 | API kubelet | Plano de controle |
| TCP | Entrada | 10251 | kube-scheduler | Só para mim |
| TCP | Entrada | 10252 | kube-controller-manager | Só para mim |
| TCP | Ambos | 4240 | Verificação de integridade da CNI | Tudo |
Nós de trabalho
| Protocolo | Direção | Intervalo de portas | Finalidade | Usada por |
|---|---|---|---|---|
| TCP | Entrada | 22 | Provisionamento e atualizações de nós de clusters de usuário | Nós do cluster de administrador |
| UDP | Entrada | 6081 | Encapsulamento GENEVE | Só para mim |
| TCP | Entrada | 10250 | API kubelet | Plano de controle |
| TCP | Entrada | 30000 - 32767 | Serviços NodePort | Só para mim |
| TCP | Ambos | 4240 | Verificação de integridade da CNI | Tudo |
Nós do balanceador de carga
| Protocolo | Direção | Intervalo de portas | Finalidade | Usada por |
|---|---|---|---|---|
| UDP | Entrada | 6081 | Encapsulamento GENEVE | Só para mim |
| TCP | Entrada | 6444 | Servidor da API Kubernetes | Tudo |
| TCP | Ambos | 4240 | Verificação de integridade da CNI | Tudo |
| TCP | Entrada | 7946 | Verificação de integridade do LB de metal | Nós de LB |
| UDP | Entrada | 7946 | Verificação de integridade do LB de metal | Nós de LB |