В Managed Kubernetes при создании группы узлов автоматически создается группа безопасности, в которой задаются сетевые политики с предварительно настроенными правилами. Они обеспечивают корректную работу CNI, NodePorts и других компонентов.
Правила описаны в таблице.
Правило | Назначение | Протокол | Порт |
|---|---|---|---|
Разрешен входящий трафик c узлов плоскости управления к рабочим узлам. | Рабочие узлы | Любой | Любой |
Разрешен входящий трафик по протоколу TCP на порт 10250 для Kubelet API. | Kubelet API | TCP | 10250 |
Разрешен входящий трафик по протоколу TCP на порт 10256 для Health check server for the kube-proxy. | Health check server for the kube-proxy | TCP | 10256 |
Разрешен входящий трафик по протоколу TCP на порты 30000–32767 для NodePorts Services. | NodePorts Services | TCP | 30000–32767 |
Разрешен входящий трафик по протоколу UDP на порты 30000–32767 для NodePorts Services. | NodePorts Services | UDP | 30000–32767 |
Разрешен входящий трафик по протоколу UDP на порт 8472 для Cilium VXLAN overlay. | Cilium VXLAN overlay | UDP | 8472 |
Разрешен входящий трафик по протоколу TCP на порт 4240 для Cilium health checks. | Cilium health checks | TCP | 4240 |
Разрешен входящий трафик по протоколу ICMP для Cilium health checks. | Cilium health checks | ICMP | |
Разрешен входящий трафик по протоколу TCP на порт 179 для Calico networking (BGP). | Calico networking (BGP) | TCP | 179 |
Разрешен входящий трафик по протоколу TCP на порт 5473 для Calico networking with Typha enabled. | Calico networking with Typha enabled | TCP | 5473 |
Разрешен входящий трафик по протоколу UDP на порт 51820 для Calico networking with IPv4 Wireguard enabled. | Calico networking with IPv4 Wireguard enabled | UDP | 51820 |
Разрешен входящий трафик по протоколу UDP на порт 51821 для Calico networking with IPv6 Wireguard enabled. | Calico networking with IPv6 Wireguard enabled | UDP | 51821 |
Разрешен входящий трафик по протоколу UDP на порт 4789 для Flannel networking VXLAN (Calico & Cilium) rules. | Flannel networking VXLAN (Calico & Cilium) rules | UDP | 4789 |
Разрешен весь исходящий трафик по любому протоколу. | Любой | Любой |
Группа безопасности по умолчанию потребляет квоты организации, поэтому при создании группы узлов нужно учитывать, что квота по этому ресурсу не исчерпана, иначе создание группы узлов завершится ошибкой. Квоты можно изменить по запросу в техническую поддержку.
При удалении группы узлов группа безопасности по умолчанию удаляется вместе с ней.