网络要求
外部网络要求
Anthos clusters on Bare Metal 需要连接到互联网才能运行。Anthos clusters on Bare Metal 从 Container Registry 检索集群组件,并且集群需要注册到 Connect。
您可以使用公共互联网(通过 HTTPS),通过 Virtual Private Network (VPN) 或通过专用互连连接到 Google。
内部网络要求
Anthos clusters on Bare Metal 可以与集群节点之间的 L2 或 L3 连接搭配使用,并且负载均衡器节点必须位于同一 L2 网域中。负载均衡器节点可以是控制平面节点或一组专用节点。如需了解配置信息,请参阅选择和配置负载均衡器。
无论您是在控制层面节点池还是一组专用节点上运行负载均衡器,L2 网络要求都适用。
负载均衡器机器的要求如下:
- 给定集群的所有负载均衡器都在同一 L2 网域中。
- 所有 VIP 都必须位于负载均衡器机器子网中,并且可路由到子网的网关。
- 用户负责允许入站负载均衡器流量。
具有高可用性的单用户集群部署
下图通过一种可能的网络配置介绍 Anthos clusters on Bare Metal 的一些关键网络概念。
- 控制层面节点运行负载均衡器,它们都位于同一 L2 网络中,而其他连接(包括工作器节点)只需要 L3 连接。
- 配置文件定义工作器节点池的 IP 地址和 Service 的虚拟 IP 地址,用于 Ingress 和控制层面 (Kubernetes API) 访问。
- 此外还需要与 Google Cloud 的连接。
端口使用量
本部分介绍在集群和负载均衡器节点上如何使用 UDP 和 TCP 端口。
主节点
| 协议 | 方向 | 端口范围 | 用途 | 使用者 |
|---|---|---|---|---|
| UDP | 入站 | 6081 | GENEVE 封装 | 本身 |
| TCP | 入站 | 22 | 管理员集群节点的预配和更新 | 管理员工作站 |
| TCP | 入站 | 443 | 集群管理 | 管理员集群节点 |
| TCP | 入站 | 6443 | Kubernetes API 服务器 | 全部 |
| TCP | 入站 | 6444 | 控制层面 HA | 全部 |
| TCP | 入站 | 2379 - 2380 | etcd 服务器客户端 API | kube-apiserver、etcd |
| TCP | 入站 | 10250 | kubelet API | 自身、控制层面 |
| TCP | 入站 | 10251 | kube-scheduler | 本身 |
| TCP | 入站 | 10252 | kube-controller-manager | 本身 |
| TCP | 两者 | 4240 | CNI 健康检查 | 全部 |
工作器节点数
| 协议 | 方向 | 端口范围 | 用途 | 使用者 |
|---|---|---|---|---|
| TCP | 入站 | 22 | 用户集群节点的预配和更新 | 管理员集群节点 |
| UDP | 入站 | 6081 | GENEVE 封装 | 本身 |
| TCP | 入站 | 10250 | kubelet API | 自身、控制层面 |
| TCP | 入站 | 30000 - 32767 | NodePort Service | 本身 |
| TCP | 两者 | 4240 | CNI 健康检查 | 全部 |
负载均衡器节点
| 协议 | 方向 | 端口范围 | 用途 | 使用者 |
|---|---|---|---|---|
| UDP | 入站 | 6081 | GENEVE 封装 | 本身 |
| TCP | 入站 | 6444 | Kubernetes API 服务器 | 全部 |
| TCP | 两者 | 4240 | CNI 健康检查 | 全部 |
| TCP | 入站 | 7946 | Metal LB 健康检查 | LB 节点 |
| UDP | 入站 | 7946 | Metal LB 健康检查 | LB 节点 |