프록시 허용 목록에 주소 추가
조직에서 프록시 서버를 통과하도록 아웃바운드 트래픽이 필요하면 프록시 서버에서 다음 주소를 허용 목록에 추가합니다.
- gcr.io
- googleapis.com
- www.googleapis.com
- storage.googleapis.com
- gkeconnect.googleapis.com
- cloudresourcemanager.googleapis.com
- container.googleapis.com
- serviceusage.googleapis.com
- gkehub.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- console.cloud.google.com
- accounts.google.com
- iam.googleapis.com
- cloud.google.com
- checkpoint-api.hashicorp.com
- releases.hashicorp.com
또한 vCenter Server에 외부 IP 주소가 있으면 프록시 서버에서 주소를 허용 목록에 추가합니다.
방화벽 규칙
다음 트래픽을 허용하도록 방화벽 규칙을 설정합니다.
원본 |
대상 |
포트 |
프로토콜 |
설명 |
|---|---|---|---|---|
|
관리자 클러스터 제어 영역 노드 |
vCenter Server API |
443 |
TCP/https |
클러스터 크기 조절 |
|
사용자 클러스터 제어 영역 노드 |
vCenter Server API |
443 |
TCP/https |
클러스터 크기 조절 |
|
관리자 클러스터 부가기능 노드에서 실행되는 Cloud Logging 수집기 |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
관리자 클러스터 부가기능 노드에서 실행되는 Cloud Monitoring 수집기 |
oauth2.googleapis.com Monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
관리자 클러스터 제어 영역 노드 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
사용자 클러스터 제어 영역 노드 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
관리자 클러스터 제어 영역 노드 |
온프렘 로컬 Docker 레지스트리 |
레지스트리에 따라 달라집니다. |
TCP/https |
GKE On-Prem이 gcr.io 대신 로컬 비공개 Docker 레지스트리를 사용하도록 구성된 경우에 필요합니다. |
|
사용자 클러스터 제어 영역 노드 |
온프렘 로컬 Docker 레지스트리 |
레지스트리에 따라 달라집니다. |
TCP/https |
GKE On-Prem이 gcr.io 대신 로컬 비공개 Docker 레지스트리를 사용하도록 구성된 경우에 필요합니다. |
|
관리자 클러스터 제어 영역 노드 |
gcr.io quay.io *.googleusercontent.com *.googleapis.com *.docker.io *.k8s.io |
443 |
TCP/https |
공개 Docker 레지스트리에서 이미지 다운로드 비공개 Docker 레지스트리를 사용하는 경우에는 필요하지 않습니다. |
|
사용자 클러스터 제어 영역 노드 |
gcr.io quay.io *.googleusercontent.com *.googleapis.com *.docker.io *.k8s.io |
443 |
TCP/https |
공개 Docker 레지스트리에서 이미지 다운로드 비공개 Docker 레지스트리를 사용하는 경우에는 필요하지 않습니다. |
|
관리자 클러스터 워커 노드 |
관리자 클러스터 워커 노드 |
전체 |
179 - bgp 443 - https 5473 - Calico/Typha 9443 - Envoy 측정항목 10250 - kubelet 노드 포트 |
모든 워커 노드는 인접한 레이어-2이고 방화벽이 없어야 합니다. |
|
관리자 클러스터 워커 노드 |
사용자 클러스터 노드 |
22 |
ssh |
SSH 터널을 통한 kubelet 통신에 대한 API 서버 |
|
사용자 클러스터 워커 노드 |
관리 워크스테이션 Docker 레지스트리 |
|||
|
사용자 클러스터 워커 노드 |
gcr.io quay.io *.googleusercontent.com *.googleapis.com *.docker.io *.k8s.io |
443 |
TCP/https |
공개 Docker 레지스트리에서 이미지 다운로드 비공개 Docker 레지스트리를 사용하는 경우에는 필요하지 않습니다. |
|
사용자 클러스터 워커 노드 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
사용자 클러스터 워커 노드 |
관리자 클러스터에서 실행되는 pushprox 서버의 VIP입니다. |
8443 |
TCP/https |
Prometheus 트래픽 |
|
사용자 클러스터 워커 노드 |
사용자 클러스터 워커 노드 |
전체 |
22 - ssh 179 - bgp 443 - https 5473 - calico-typha 9443 - envoy 측정항목 10250 - kubelet 노드 포트' |
모든 워커 노드는 인접한 레이어-2이고 방화벽이 없어야 합니다. |
|
관리자 클러스터 pod CIDR |
관리자 클러스터 pod CIDR |
전체 |
모두 |
pod 간 트래픽은 pod CIDR로 직접 L2 전달을 수행합니다. 오버레이 없음 |
|
관리자 클러스터 노드 |
관리자 클러스터 pod CIDR |
전체 |
모두 |
외부 트래픽은 첫 번째 노드에서 SNAT되고 pod IP로 전송됩니다. |
|
관리자 클러스터 pod CIDR |
관리자 클러스터 노드 |
전체 |
모두 |
외부 트래픽의 트래픽을 반환합니다. |
|
사용자 클러스터 pod CIDR |
사용자 클러스터 pod CIDR |
전체 |
모두 |
pod 간 트래픽은 pod CIDR로 직접 L2 전달을 수행합니다. 오버레이 없음 |
|
사용자 클러스터 노드 |
사용자 클러스터 pod CIDR |
전체 |
모두 |
외부 트래픽은 첫 번째 노드에서 SNAT되고 pod IP로 전송됩니다. |
|
사용자 클러스터 pod CIDR |
사용자 클러스터 노드 |
전체 |
모두 |
외부 트래픽의 트래픽을 반환합니다. |
|
임의 사용자 클러스터 워커 노드에서 실행되는 Connect Agent입니다. |
gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com oauth2.googleapis.com accounts.google.com |
443 |
TCP/https |
트래픽 연결 |
|
임의 사용자 클러스터 워커 노드에서 실행되는 Cloud Logging 수집기 |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
임의 사용자 클러스터 워커 노드에서 실행되는 Cloud Monitoring 수집기 |
oauth2.googleapis.com Monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
애플리케이션 최종 사용자 클라이언트 |
Istio 인그레스 VIP |
80, 443 |
TCP |
사용자 클러스터의 인그레스 서비스에 대한 최종 사용자 트래픽 |
|
서버를 건너뛰어 관리 워크스테이션 배포 |
checkpoint-api.hashicorp.com releases.hashicorp.com vCenter Server API 대상 클러스터의 호스트 ESXi VMkernel(mgt) IP |
443 |
TCP/https |
관리 워크스테이션의 Terraform 배포 |
|
관리 워크스테이션 |
gcr.io quay.io *.googleusercontent.com *.googleapis.com *.docker.io *.k8s.io" |
443 |
TCP/https |
공개 Docker 레지스트리에서 Docker 이미지 다운로드 |
|
관리 워크스테이션 |
vCenter Server API F5 BIG-IP API |
443 |
TCP/https |
클러스터 부트스트랩 |
|
관리 워크스테이션 |
대상 클러스터에 있는 호스트의 ESXi VMkernel(mgt) IP |
443 |
TCP/https |
관리자 워크스테이션이 ESXi 호스트를 통해 Datastore에 OVA를 업로드합니다. |
|
관리 워크스테이션 |
관리자 클러스터 제어 영역 VM의 노드 IP |
443 |
TCP/https |
클러스터 부트스트랩 |
|
관리 워크스테이션 |
관리자 클러스터의 Kubernetes API 서버 VIP 사용자 클러스터의 Kubernetes API 서버 VIP |
443 |
TCP/https |
클러스터 부트스트랩 사용자 클러스터 삭제 |
|
관리 워크스테이션 |
관리자 클러스터 제어 영역 노드 및 워커 노드 |
443 |
TCP/https |
클러스터 부트스트랩 제어 영역 업그레이드 |
|
관리 워크스테이션 |
모든 관리자 클러스터 노드 및 모든 사용자 클러스터 노드 |
443 |
TCP/https |
|
|
관리 워크스테이션 |
관리자 클러스터 Istio 인그레스의 VIP 사용자 클러스터 Istio 인그레스의 VIP |
443 |
TCP/https |
|
|
F5 Self-IP |
모든 관리자 클러스터와 사용자 클러스터 노드 |
30000~32767 |
모두 |
F5 BIG-IP가 가상 서버 VIP를 통해 Kubernetes 클러스터 노드의 노드 포트로 부하를 분산하는 데이터 영역 트래픽의 경우. 일반적으로 F5 self-ip는 Kubernetes 클러스터 노드와 동일한 네트워크/서브넷에 있습니다. |