ネットワークの要件

ネットワークの要件

外部ネットワークの要件

ベアメタル版 Anthos クラスタの操作にはインターネット接続が必要です。ベアメタル版 Anthos クラスタは、Container Registry からクラスタ コンポーネントを取得し、クラスタは Connect に登録されます。

公共のインターネット（HTTPS 経由）、バーチャル プライベート ネットワーク（VPN）、または Dedicated Interconnect を介して Google に接続できます。

内部ネットワークの要件

ベアメタル版 Anthos クラスタは、クラスタノード間の L2 または L3 接続で動作でき、ロードバランサ ノードが同じ L2 ドメイン内にある必要があります。ロードバランサ ノードは、コントロール プレーン ノードまたは専用ノードのセットです。構成情報については、ロードバランサの選択と構成をご覧ください。

L2 ネットワーク要件は、コントロール プレーン ノードプールで、または専用ノードのセットのどちらでロードバランサを実行しても適用されます。

ロードバランサ マシンの要件は次のとおりです。

• 特定のクラスタのすべてのロードバランサは、同じ L2 ドメイン内にあります。
• すべての VIP は、ロードバランサ マシンのサブネットにあり、サブネットのゲートウェイにルーティング可能である必要がある。
• 上り（内向き）ロードバランサのトラフィックを許可することは、ユーザーの責任で行います。

高可用性を備えた単一ユーザー クラスタのデプロイメント

次の図は、ある 1 つのネットワーク構成におけるベアメタル版 Anthos クラスタの主要なネットワーキング コンセプトを示しています。

• コントロール プレーン ノードはロードバランサを実行し、これらはすべて同じ L2 ネットワークに存在します。一方、ワーカーノードを含む他の接続には、L3 接続のみが必要です。
• 構成ファイルでは、ワーカーノード プールの IP アドレスと、Service 用、Ingress 用、コントロール プレーン（Kubernetes API）アクセス用の仮想 IP アドレスを定義します。
• Google Cloud への接続も必要です。

ポートの使用状況

このセクションでは、クラスタノードとロードバランサ ノードで UDP ポートと TCP ポートを使用する方法について説明します。

マスターノード

プロトコル	送信 / 受信	ポート範囲	目的	使用者
UDP	受信	6081	GENEVE カプセル化	自身
TCP	受信	22	管理クラスタ ノードのプロビジョニングと更新	管理ワークステーション
TCP	受信	443	クラスタ管理	管理クラスタノード
TCP	受信	6443	Kubernetes API サーバー	すべて
TCP	受信	6444	コントロール プレーン HA	すべて
TCP	受信	2379 - 2380	etcd サーバー クライアント API	kube-apiserver, etcd
TCP	受信	10250	kubelet API	自身、コントロール プレーン
TCP	受信	10251	kube-scheduler	自身
TCP	受信	10252	kube-controller-manager	自身
TCP	両方	4240	CNI ヘルスチェック	すべて

ワーカーノード

プロトコル	送信 / 受信	ポート範囲	目的	使用者
TCP	受信	22	ユーザー クラスタ ノードのプロビジョニングと更新	管理クラスタノード
UDP	受信	6081	GENEVE カプセル化	自身
TCP	受信	10250	kubelet API	自身、コントロール プレーン
TCP	受信	30000～32767	NodePort Service	自身
TCP	両方	4240	CNI ヘルスチェック	すべて

ロードバランサ ノード

プロトコル	送信 / 受信	ポート範囲	目的	使用者
UDP	受信	6081	GENEVE カプセル化	自身
TCP	受信	6444	Kubernetes API サーバー	すべて
TCP	両方	4240	CNI ヘルスチェック	すべて
TCP	受信	7946	Metal LB ヘルスチェック	LB ノード
UDP	受信	7946	Metal LB ヘルスチェック	LB ノード