В Managed Kubernetes при создании группы узлов автоматически создается группа безопасности с предварительно настроенными правилами для сетевых политик. Они обеспечивают корректную работу CNI, NodePorts и других компонентов.
Правила задаются в зависимости от установленного в кластер CNI-плагина: Calico или Cilium.
В таблице описаны правила для группы безопасности по умолчанию, если в кластер установлен Calico.
Правило | Назначение | Протокол | Порт |
|---|---|---|---|
Разрешен входящий трафик c узлов плоскости управления к рабочим узлам. | Рабочие узлы | Любой | Любой |
Разрешен входящий трафик по протоколу TCP на порт 10250 для Kubelet API. | Kubelet API | TCP | 10250 |
Разрешен входящий трафик по протоколу TCP на порт 10256 для Health check server for the kube-proxy. | Health check server for the kube-proxy | TCP | 10256 |
Разрешен входящий трафик по протоколу TCP на порты 30000–32767 для NodePorts Services. | NodePorts Services | TCP | 30000–32767 |
Разрешен входящий трафик по протоколу UDP на порты 30000–32767 для NodePorts Services. | NodePorts Services | UDP | 30000–32767 |
Разрешен входящий трафик по протоколу TCP на порт 5473 для Calico networking with Typha enabled. | Calico networking with Typha enabled | TCP | 5473 |
Разрешен входящий трафик по протоколу UDP на порт 4789 для Calico networking with VXLAN. | Calico networking with VXLAN | UDP | 4789 |
Разрешен весь исходящий трафик по любому протоколу. | Любой | Любой |
В таблице описаны правила для группы безопасности по умолчанию, если в кластер установлен Cilium.
Правило | Назначение | Протокол | Порт |
|---|---|---|---|
Разрешен входящий трафик c узлов плоскости управления к рабочим узлам. | Рабочие узлы | Любой | Любой |
Разрешен входящий трафик по протоколу TCP на порт 10250 для Kubelet API. | Kubelet API | TCP | 10250 |
Разрешен входящий трафик по протоколу TCP на порт 10256 для Health check server for the kube-proxy. | Health check server for the kube-proxy | TCP | 10256 |
Разрешен входящий трафик по протоколу TCP на порты 30000–32767 для NodePorts Services. | NodePorts Services | TCP | 30000–32767 |
Разрешен входящий трафик по протоколу UDP на порты 30000–32767 для NodePorts Services. | NodePorts Services | UDP | 30000–32767 |
Разрешен входящий трафик по протоколу UDP на порт 8472 для Cilium VXLAN overlay. | Cilium VXLAN overlay | UDP | 8472 |
Разрешен входящий трафик по протоколу TCP на порт 4240 для Cilium health checks. | Cilium health checks | TCP | 4240 |
Разрешен входящий трафик по протоколу ICMP для Cilium health checks. | Cilium health checks | ICMP | Любой |
Разрешен весь исходящий трафик по любому протоколу. | Любой | Любой |