프록시 및 방화벽 규칙

프록시 허용 목록에 주소 추가

조직에서 프록시 서버를 통과하도록 아웃바운드 트래픽이 필요하면 프록시 서버에서 다음 주소를 허용 목록에 추가합니다.

  • gcr.io
  • googleapis.com
  • www.googleapis.com
  • storage.googleapis.com
  • gkeconnect.googleapis.com
  • cloudresourcemanager.googleapis.com
  • container.googleapis.com
  • serviceusage.googleapis.com
  • gkehub.googleapis.com
  • logging.googleapis.com
  • monitoring.googleapis.com
  • oauth2.googleapis.com
  • console.cloud.google.com
  • accounts.google.com
  • iam.googleapis.com
  • cloud.google.com
  • checkpoint-api.hashicorp.com
  • releases.hashicorp.com

또한 vCenter Server에 외부 IP 주소가 있으면 프록시 서버에서 주소를 허용 목록에 추가합니다.

방화벽 규칙

다음 트래픽을 허용하도록 방화벽 규칙을 설정합니다.

원본

대상

포트

프로토콜

설명

관리자 클러스터 제어 영역 노드

vCenter Server API

443

TCP/https

클러스터 크기 조절

사용자 클러스터 제어 영역 노드

vCenter Server API

443

TCP/https

클러스터 크기 조절

관리자 클러스터 부가기능 노드에서 실행되는 Cloud Logging 수집기

oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

관리자 클러스터 부가기능 노드에서 실행되는 Cloud Monitoring 수집기

oauth2.googleapis.com
Monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

관리자 클러스터 제어 영역 노드

F5 BIG-IP API

443

TCP/https

사용자 클러스터 제어 영역 노드

F5 BIG-IP API

443

TCP/https

관리자 클러스터 제어 영역 노드

온프렘 로컬 Docker 레지스트리

레지스트리에 따라 달라집니다.

TCP/https

GKE On-Prem이 gcr.io 대신 로컬 비공개 Docker 레지스트리를 사용하도록 구성된 경우에 필요합니다.

사용자 클러스터 제어 영역 노드

온프렘 로컬 Docker 레지스트리

레지스트리에 따라 달라집니다.

TCP/https

GKE On-Prem이 gcr.io 대신 로컬 비공개 Docker 레지스트리를 사용하도록 구성된 경우에 필요합니다.

관리자 클러스터 제어 영역 노드

gcr.io
quay.io
*.googleusercontent.com
*.googleapis.com
*.docker.io
*.k8s.io

443

TCP/https

공개 Docker 레지스트리에서 이미지 다운로드

비공개 Docker 레지스트리를 사용하는 경우에는 필요하지 않습니다.

사용자 클러스터 제어 영역 노드

gcr.io
quay.io
*.googleusercontent.com
*.googleapis.com
*.docker.io
*.k8s.io
443

TCP/https

공개 Docker 레지스트리에서 이미지 다운로드

비공개 Docker 레지스트리를 사용하는 경우에는 필요하지 않습니다.

관리자 클러스터 워커 노드

관리자 클러스터 워커 노드

전체

179 - bgp

443 - https

5473 - Calico/Typha

9443 - Envoy 측정항목

10250 - kubelet 노드 포트

모든 워커 노드는 인접한 레이어-2이고 방화벽이 없어야 합니다.

관리자 클러스터 워커 노드

사용자 클러스터 노드

22

ssh

SSH 터널을 통한 kubelet 통신에 대한 API 서버

사용자 클러스터 워커 노드

관리 워크스테이션 Docker 레지스트리

사용자 클러스터 워커 노드

gcr.io
quay.io
*.googleusercontent.com
*.googleapis.com
*.docker.io
*.k8s.io

443

TCP/https

공개 Docker 레지스트리에서 이미지 다운로드

비공개 Docker 레지스트리를 사용하는 경우에는 필요하지 않습니다.

사용자 클러스터 워커 노드

F5 BIG-IP API

443

TCP/https

사용자 클러스터 워커 노드

관리자 클러스터에서 실행되는 pushprox 서버의 VIP입니다.

8443

TCP/https

Prometheus 트래픽

사용자 클러스터 워커 노드

사용자 클러스터 워커 노드

전체

22 - ssh

179 - bgp

443 - https

5473 - calico-typha

9443 - envoy 측정항목

10250 - kubelet 노드 포트'

모든 워커 노드는 인접한 레이어-2이고 방화벽이 없어야 합니다.

관리자 클러스터 pod CIDR

관리자 클러스터 pod CIDR

전체

모두

pod 간 트래픽은 pod CIDR로 직접 L2 전달을 수행합니다. 오버레이 없음

관리자 클러스터 노드

관리자 클러스터 pod CIDR

전체

모두

외부 트래픽은 첫 번째 노드에서 SNAT되고 pod IP로 전송됩니다.

관리자 클러스터 pod CIDR

관리자 클러스터 노드

전체

모두

외부 트래픽의 트래픽을 반환합니다.

사용자 클러스터 pod CIDR

사용자 클러스터 pod CIDR

전체

모두

pod 간 트래픽은 pod CIDR로 직접 L2 전달을 수행합니다. 오버레이 없음

사용자 클러스터 노드

사용자 클러스터 pod CIDR

전체

모두

외부 트래픽은 첫 번째 노드에서 SNAT되고 pod IP로 전송됩니다.

사용자 클러스터 pod CIDR

사용자 클러스터 노드

전체

모두

외부 트래픽의 트래픽을 반환합니다.

임의 사용자 클러스터 워커 노드에서 실행되는 Connect Agent입니다.

gkeconnect.googleapis.com
gkehub.googleapis.com
www.googleapis.com
oauth2.googleapis.com
accounts.google.com

443

TCP/https

트래픽 연결

임의 사용자 클러스터 워커 노드에서 실행되는 Cloud Logging 수집기

oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

임의 사용자 클러스터 워커 노드에서 실행되는 Cloud Monitoring 수집기

oauth2.googleapis.com
Monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

애플리케이션 최종 사용자 클라이언트

Istio 인그레스 VIP

80, 443

TCP

사용자 클러스터의 인그레스 서비스에 대한 최종 사용자 트래픽

서버를 건너뛰어 관리 워크스테이션 배포

checkpoint-api.hashicorp.com
releases.hashicorp.com
vCenter Server API
대상 클러스터의 호스트 ESXi VMkernel(mgt) IP

443

TCP/https

관리 워크스테이션의 Terraform 배포

관리 워크스테이션

gcr.io
quay.io
*.googleusercontent.com
*.googleapis.com
*.docker.io
*.k8s.io"

443

TCP/https

공개 Docker 레지스트리에서 Docker 이미지 다운로드

관리 워크스테이션

vCenter Server API

F5 BIG-IP API

443

TCP/https

클러스터 부트스트랩

관리 워크스테이션

대상 클러스터에 있는 호스트의 ESXi VMkernel(mgt) IP

443

TCP/https

관리자 워크스테이션이 ESXi 호스트를 통해 Datastore에 OVA를 업로드합니다.

관리 워크스테이션

관리자 클러스터 제어 영역 VM의 노드 IP

443

TCP/https

클러스터 부트스트랩

관리 워크스테이션

관리자 클러스터의 Kubernetes API 서버 VIP

사용자 클러스터의 Kubernetes API 서버 VIP

443

TCP/https

클러스터 부트스트랩

사용자 클러스터 삭제

관리 워크스테이션

관리자 클러스터 제어 영역 노드 및 워커 노드

443

TCP/https

클러스터 부트스트랩

제어 영역 업그레이드

관리 워크스테이션

모든 관리자 클러스터 노드 및 모든 사용자 클러스터 노드

443

TCP/https

gkectl check-config 명령어 일부로 네트워크 유효성 검사

관리 워크스테이션

관리자 클러스터 Istio 인그레스의 VIP

사용자 클러스터 Istio 인그레스의 VIP

443

TCP/https

gkectl check-config 명령어 일부로 네트워크 유효성 검사

F5 Self-IP

모든 관리자 클러스터와 사용자 클러스터 노드

30000~32767

모두

F5 BIG-IP가 가상 서버 VIP를 통해 Kubernetes 클러스터 노드의 노드 포트로 부하를 분산하는 데이터 영역 트래픽의 경우.

일반적으로 F5 self-ip는 Kubernetes 클러스터 노드와 동일한 네트워크/서브넷에 있습니다.