Requisitos de red
Requisitos de red externa
Anthos en equipos físicos requiere una conexión a Internet para fines operativos. Anthos en equipos físicos recupera componentes de los clústeres de Container Registry, y los clústeres se registran con Connect.
Puedes conectarte a Google con la Internet pública (con HTTPS), a través de una red privada virtual (VPN) o a través de una interconexión dedicada.
Requisitos de red interna
Anthos en equipos físicos puede funcionar con la conectividad L2 o L3 entre los nodos del clúster y requiere que los nodos del balanceador de cargas estén en el mismo dominio L2. Los nodos del balanceador de cargas pueden ser los nodos del plano de control o un conjunto de nodos dedicado. Consulta Elige y configura balanceadores de cargas para obtener información sobre la configuración.
El requisito de red L2 se aplica si ejecutas el balanceador de cargas en el grupo de nodos del plano de control o en un conjunto de nodos dedicado.
Los requisitos para las máquinas de balanceador de cargas son los siguientes:
- Todos los balanceadores de cargas para un clúster determinado deben estar en el mismo dominio L2.
- Todos los VIP deben estar en la subred de máquina del balanceador de cargas y se deben poder enrutar a la puerta de enlace de la subred.
- Los usuarios son responsables de permitir el tráfico de balanceador de cargas de entrada.
Implementación de clúster de usuario único con alta disponibilidad
En el siguiente diagrama, se ilustran varios conceptos clave de red para Anthos en equipos físicos en una posible configuración de red.
- Los nodos del plano de control ejecutan balanceadores de cargas y todos están en la misma red L2, mientras que otras conexiones, incluidos los nodos trabajadores, solo requieren conectividad L3.
- Los archivos de configuración definen direcciones IP para grupos de nodos trabajadores, además de direcciones IP virtuales para servicios, entrada y acceso del plano de control (API de Kubernetes).
- También se requiere una conexión a Google Cloud.
Uso de puertos
En esta sección, se muestra cómo se usan los puertos UDP y TCP en los nodos del clúster y del balanceador de cargas.
Nodos principales
| Protocolo | Dirección | Intervalo de puerto | Objetivo | Usado por |
|---|---|---|---|---|
| UDP | Entrante | 6081 | Encapsulamiento GENEVE | Propio |
| TCP | Entrante | 22 | Aprovisionamiento y actualizaciones de los nodos del clúster de administrador | Estación de trabajo de administrador |
| TCP | Entrante | 443 | Administración de clústeres | Nodos del clúster del administrador |
| TCP | Entrante | 6443 | Servidor de API de Kubernetes | Todas |
| TCP | Entrante | 6444 | HA del plano de control | Todas |
| TCP | Entrante | 2379 - 2380 | API del cliente del servidor de etcd | kube-apiserver, etcd |
| TCP | Entrante | 10250 | API de kubelet | Uso propio, plano de control |
| TCP | Entrante | 10251 | kube-scheduler | Propio |
| TCP | Entrante | 10252 | kube-controller-manager | Propio |
| TCP | Ambos | 4240 | Verificación de estado de CNI | Todas |
Nodos trabajadores
| Protocolo | Dirección | Intervalo de puerto | Objetivo | Usado por |
|---|---|---|---|---|
| TCP | Entrante | 22 | Aprovisionamiento y actualizaciones de nodos de clústeres de usuarios | Nodos del clúster del administrador |
| UDP | Entrante | 6081 | Encapsulamiento GENEVE | Propio |
| TCP | Entrante | 10250 | API de kubelet | Uso propio, plano de control |
| TCP | Entrante | 30000: 32767 | Servicios de NodePort | Propio |
| TCP | Ambos | 4240 | Verificación de estado de CNI | Todas |
Nodos del balanceador de cargas
| Protocolo | Dirección | Intervalo de puerto | Objetivo | Usado por |
|---|---|---|---|---|
| UDP | Entrante | 6081 | Encapsulamiento GENEVE | Propio |
| TCP | Entrante | 6444 | Servidor de API de Kubernetes | Todas |
| TCP | Ambos | 4240 | Verificación de estado de CNI | Todas |
| TCP | Entrante | 7946 | Verificación de estado de Metal LB | Nodos de LB |
| UDP | Entrante | 7946 | Verificación de estado de Metal LB | Nodos de LB |