Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Portanforderungen

Um ordnungsgemäß zu funktionieren, benötigt Rancher eine Reihe von Ports, die auf Rancher-Knoten und auf Downstream-Kubernetes-Cluster-Knoten geöffnet sein müssen.

Rancher-Knoten

Die folgende Tabelle listet die Ports auf, die zu und von Knoten, die den Rancher-Server ausführen, geöffnet sein müssen.

Die Anforderungen an die Ports unterscheiden sich je nach Architektur des Rancher-Servers.

Rancher kann auf jedem Kubernetes-Cluster installiert werden. Für Rancher-Installationen auf einem K3s-, RKE- oder RKE2-Kubernetes-Cluster, siehe die untenstehenden Registerkarten. Für andere Kubernetes-Distributionen konsultieren Sie die Dokumentation der Distribution zu den Anforderungen an die Ports für Cluster-Knoten.

Hinweise:

  • Rancher-Knoten benötigen möglicherweise auch zusätzlichen ausgehenden Zugriff auf einen externen Authentifizierungsanbieter, der konfiguriert ist (zum Beispiel LDAP).

  • Kubernetes empfiehlt TCP 30000-32767 für Node-Port-Dienste.

  • Für Firewalls muss der Datenverkehr möglicherweise innerhalb des Clusters und des Pod-CIDR aktiviert werden.

  • Rancher-Knoten benötigen möglicherweise auch ausgehenden Zugriff auf einen externen S3-Speicherort, der zur Speicherung von Cluster-Sicherungen verwendet wird (zum Beispiel Minio).

Ports für Rancher-Server-Knoten auf SUSE® Rancher Prime: K3s

Klicken Sie zum Aufklappen

Der K3s-Server benötigt, dass Port 6443 von den Knoten erreichbar ist.

Die Knoten müssen in der Lage sein, andere Knoten über den UDP-Port 8472 zu erreichen, wenn Flannel VXLAN verwendet wird. Der Knoten sollte auf keinem anderen Port lauschen. K3s verwendet Reverse-Tunneling, sodass die Knoten ausgehende Verbindungen zum Server herstellen und der gesamte Kubelet-Verkehr durch diesen Tunnel läuft. Wenn Sie jedoch Flannel nicht verwenden und Ihre eigene benutzerdefinierte CNI bereitstellen, wird Port 8472 von K3s nicht benötigt.

Wenn Sie den Metrikserver nutzen möchten, müssen Sie den Port 10250 an jedem Knoten öffnen.

Wichtig:

Der VXLAN-Port auf den Knoten sollte nicht der Öffentlichkeit zugänglich gemacht werden, da dies Ihr Cluster-Netzwerk für jeden zugänglich macht. Führen Sie Ihre Knoten hinter einer Firewall/Sicherheitsgruppe aus, die den Zugriff auf Port 8472 deaktiviert.

Die folgenden Tabellen zeigen die Anforderungen an die Ports für eingehenden und ausgehenden Datenverkehr auf:

Table 1. Eingehende Regeln für Rancher-Server-Knoten
Protokoll Port Quelle Beschreibung

TCP

80

Lastenausgleich/Proxy, der externe SSL-Terminierung durchführt

Rancher UI/API, wenn externe SSL-Terminierung verwendet wird

TCP

443

<ul><li>Server-Knoten</li><li>Agent-Knoten</li><li>Gehostete/registrierte Kubernetes</li><li>Jede Quelle, die in der Lage sein muss, die Rancher UI oder API zu verwenden</li></ul>

Rancher-Agent, Rancher UI/API, kubectl

TCP

6443

K3s-Serverknoten

Kubernetes API

UDP

8472

K3s-Server- und Agentenknoten

Erforderlich nur für Flannel VXLAN.

TCP

10250

K3s-Server- und Agentenknoten

kubelet
Table 2. Ausgehende Regeln für Rancher-Knoten
Protokoll Port Ziel Beschreibung

TCP

22

Jede Knoten-IP von einem mit Node Driver erstellten Knoten

SSH-Bereitstellung von Knoten mit Node Driver

TCP

443

git.rancher.io

Rancher-Katalog

TCP

2376

Jede Knoten-IP von einem mit Node Driver erstellten Knoten

Docker-Daemon-TLS-Port, der von Docker Machine verwendet wird

TCP

6443

Gehostete/Importierte Kubernetes-API

Kubernetes-API-Server

Ports für Rancher-Server-Knoten auf SUSE® Rancher Prime: RKE2

Klicken Sie zum Aufklappen

Die Ports 6443 und 9345 des RKE2-Servers müssen für andere Knoten im Cluster erreichbar sein.

Alle Knoten müssen in der Lage sein, andere Knoten über den UDP-Port 8472 zu erreichen, wenn Flannel VXLAN verwendet wird.

Wenn Sie den Metrikserver nutzen möchten, müssen Sie den Port 10250 an jedem Knoten öffnen.

Wichtig:

Der VXLAN-Port auf den Knoten sollte nicht der Öffentlichkeit zugänglich gemacht werden, da dies Ihr Cluster-Netzwerk für jeden zugänglich macht. Führen Sie Ihre Knoten hinter einer Firewall/Sicherheitsgruppe aus, die den Zugriff auf Port 8472 deaktiviert.
Table 3. Eingehende Regeln für RKE2-Serverknoten
Protokoll Port Quelle Beschreibung

TCP

9345

RKE2-Server- und Agentenknoten

Knotenregistrierung. Der Port sollte auf allen Serverknoten für alle anderen Knoten im Cluster geöffnet sein.

TCP

6443

RKE2-Agentenknoten

Kubernetes API

UDP

8472

RKE2-Server- und Agentenknoten

Erforderlich nur für Flannel VXLAN

TCP

10250

RKE2-Server- und Agentenknoten

kubelet

TCP

2379

RKE2-Serverknoten

etcd-Client-Port

TCP

2380

RKE2-Serverknoten

etcd-Peer-Port

TCP

30000-32767

RKE2-Server- und Agentenknoten

NodePort-Port-Bereich. Kann TCP oder UDP verwenden.

TCP

5473

Calico-node-Pod, der sich mit Typha-Pod verbindet

Erforderlich beim Einsatz mit Calico

HTTP

80

Lastenausgleich/Proxy, der externe SSL-Terminierung durchführt

Rancher UI/API, wenn externe SSL-Terminierung verwendet wird

HTTPS

443

<ul><li>gehostete/registrierte Kubernetes</li><li>jede Quelle, die in der Lage sein muss, die Rancher UI oder API zu nutzen</li></ul>

Rancher-Agent, Rancher UI/API, kubectl. Nicht erforderlich, wenn Sie einen Lastenausgleich haben, der die TLS-Terminierung durchführt.

Typischerweise ist sämtlicher ausgehender Verkehr erlaubt.

Ports für Rancher-Server in Docker

Klicken Sie zum Aufklappen

Die folgenden Tabellen zeigen die Portanforderungen für Rancher-Knoten für eingehenden und ausgehenden Verkehr auf:

Table 4. Eingehende Regeln für Rancher-Knoten
Protokoll Port Quelle Beschreibung

TCP

80

Load Balancer/Proxy, der externe SSL-Terminierung durchführt

Rancher UI/API, wenn externe SSL-Terminierung verwendet wird

TCP

443

<ul><li>gehostete/registrierte Kubernetes</li><li>jede Quelle, die in der Lage sein muss, die Rancher UI oder API zu nutzen</li></ul>

Rancher-Agent, Rancher UI/API, kubectl
Table 5. Ausgehende Regeln für Rancher-Knoten
Protokoll Port Quelle Beschreibung

TCP

22

Jede Knoten-IP von einem mit Node Driver erstellten Knoten

SSH-Bereitstellung von Knoten mit Node Driver

TCP

443

git.rancher.io

Rancher-Katalog

TCP

2376

Jede Knoten-IP von einem mit Node Driver erstellten Knoten

Docker-Daemon-TLS-Port, der von Docker Machine verwendet wird

TCP

6443

Gehostete/Importierte Kubernetes-API

Kubernetes-API-Server

Downstream-Kubernetes-Cluster-Knoten

Downstream Kubernetes-Cluster führen Ihre Apps und Dienste aus. Dieser Abschnitt beschreibt, welche Ports auf den Knoten in den Downstream-Clustern geöffnet werden müssen, damit Rancher mit ihnen kommunizieren kann.

Die Portanforderungen variieren je nachdem, wie der Downstream-Cluster gestartet wurde. Jeder der untenstehenden Tabs listet die Ports auf, die für verschiedene Cluster-Typen geöffnet werden müssen.

Das folgende Diagramm zeigt die Ports, die für jeden Cluster-Typ geöffnet sind.

Grundlegende Portanforderungen
Figure 1. Portanforderungen für die Rancher Management-Ebene

Wenn Sicherheit kein großes Anliegen ist und Sie damit einverstanden sind, einige zusätzliche Ports zu öffnen, können Sie die Tabelle in Häufig verwendete Ports als Ihre Portreferenz anstelle der umfassenden Tabellen unten verwenden.

Ports für SUSE Virtualization Cluster

Siehe die SUSE Virtualization Integrationsübersicht für weitere Informationen zu den Harvester-Portanforderungen.

Ports für von Rancher gestartete Kubernetes-Cluster mit Node-Pools

Klicken Sie zum Aufklappen

Die folgende Tabelle zeigt die Portanforderungen für von Rancher gestartete Kubernetes mit in einem Infrastruktur-Anbieter erstellten Knoten.

Die erforderlichen Ports werden von Rancher während der Erstellung von Clustern in Cloud-Anbietern wie Amazon EC2 oder DigitalOcean automatisch geöffnet.
From / To Rancher Nodes etcd Plane Nodes Control Plane Nodes Worker Plane Nodes External Rancher Load Balancer Internet

Rancher Nodes (1)

22 TCP

git.rancher.io

2376 TCP

etcd Plane Nodes

443 TCP (3)

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

9099 TCP (4)

Control Plane Nodes

443 TCP (3)

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

10250 TCP

9099 TCP (4)

10254 TCP (4)

Worker Plane Nodes

443 TCP (3)

6443 TCP

443 TCP

8472 UDP

9099 TCP (4)

10254 TCP (4)

Kubernetes API Clients

6443 TCP (5)

Workload Clients or Load Balancer

30000-32767 TCP / UDP
(nodeport)

80 TCP (Ingress)

443 TCP (Ingress)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Required to fetch Rancher chart library.
3. Only without external load balancer in front of Rancher.
4. Local traffic to the node itself (not across nodes).
5. Only if Authorized Cluster Endpoints are activated.

Ports für von Rancher gestartete Kubernetes-Cluster mit benutzerdefinierten Knoten

Klicken Sie zum Aufklappen

Die folgende Tabelle zeigt die Portanforderungen für von Rancher gestartete Kubernetes mit benutzerdefinierten Knoten.

From / To Rancher Nodes etcd Plane Nodes Control Plane Nodes Worker Plane Nodes External Rancher Load Balancer Internet

Rancher Nodes (1)

git.rancher.io

etcd Plane Nodes

443 TCP (3)

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

4789 UDP (6)

9099 TCP (4)

Control Plane Nodes

443 TCP (3)

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

4789 UDP (6)

10250 TCP

9099 TCP (4)

10254 TCP (4)

Worker Plane Nodes

443 TCP (3)

6443 TCP

443 TCP

8472 UDP

4789 UDP (6)

9099 TCP (4)

10254 TCP (4)

Kubernetes API Clients

6443 TCP (5)

Workload Clients or Load Balancer

30000-32767 TCP / UDP
(nodeport)

80 TCP (Ingress)

443 TCP (Ingress)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Required to fetch Rancher chart library.
3. Only without external load balancer in front of Rancher.
4. Local traffic to the node itself (not across nodes), if you’ve enabled optional features such as Rancher Monitoring.
5. Only if Authorized Cluster Endpoints are activated.
6. Only if using Overlay mode on Windows cluster.

Ports für gehostete Kubernetes-Cluster

Klicken Sie zum Aufklappen

Die folgende Tabelle zeigt die Portanforderungen für gehostete Cluster.

From / To Rancher Nodes Hosted / Imported Cluster External Rancher Load Balancer Internet

Rancher Nodes (1)

80 TCP

Kubernetes API
Endpoint Port (2)

git.rancher.io

8443 TCP

9443 TCP

Hosted / Imported Cluster

443 TCP (4)(5)

443 TCP (5)

Kubernetes API Clients

Cluster / Provider Specific (6)

Workload Client

Cluster / Provider Specific (7)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Only for hosted clusters.
3. Required to fetch Rancher chart library.
4. Only without external load balancer.
5. From worker nodes.
6. For direct access to the Kubernetes API without Rancher.
7. Usually Ingress backed by infrastructure load balancer and/or nodeport.

Ports für registrierte Cluster

Registrierte Cluster wurden vor Rancher v2.5 als importierte Cluster bezeichnet.
Klicken Sie zum Aufklappen

Die folgende Tabelle zeigt die Portanforderungen für registrierte Cluster.

From / To Rancher Nodes Hosted / Imported Cluster External Rancher Load Balancer Internet

Rancher Nodes (1)

80 TCP

Kubernetes API
Endpoint Port (2)

git.rancher.io

8443 TCP

9443 TCP

Hosted / Imported Cluster

443 TCP (4)(5)

443 TCP (5)

Kubernetes API Clients

Cluster / Provider Specific (6)

Workload Client

Cluster / Provider Specific (7)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Only for hosted clusters.
3. Required to fetch Rancher chart library.
4. Only without external load balancer.
5. From worker nodes.
6. For direct access to the Kubernetes API without Rancher.
7. Usually Ingress backed by infrastructure load balancer and/or nodeport.

Weitere Portüberlegungen

Häufig verwendete Ports

Diese Ports sind typischerweise auf Ihren Kubernetes-Knoten geöffnet, unabhängig davon, um welchen Typ von Cluster es sich handelt.

Protocol Port Description

TCP

22

Node driver SSH provisioning

TCP

179

Calico BGP Port

TCP

2376

Node driver Docker daemon TLS port

TCP

2379

etcd client requests

TCP

2380

etcd peer communication

UDP

8472

Canal/Flannel VXLAN overlay networking

UDP

4789

Flannel VXLAN overlay networking on Windows cluster

TCP

8443

Rancher webhook

TCP

9099

Canal/Flannel livenessProbe/readinessProbe

TCP

9443

Rancher webhook

TCP

9796

Default port required by Monitoring to scrape metrics from Linux and Windows node-exporters

TCP

6783

Weave Port

UDP

6783-6784

Weave UDP Ports

TCP

10250

Metrics server communication with all nodes API

TCP

10254

Ingress controller livenessProbe/readinessProbe

TCP/UDP

30000-32767

NodePort port range

Lokaler Knotenverkehr

Ports, die als local traffic (d.h. 9099 TCP) in den obigen Anforderungen gekennzeichnet sind, werden für Kubernetes-Gesundheitsprüfungen (livenessProbe und readinessProbe) verwendet. Diese Gesundheitsprüfungen werden auf dem Knoten selbst ausgeführt. In den meisten Cloud-Umgebungen ist dieser lokale Verkehr standardmäßig erlaubt.

Dieser Verkehr kann jedoch blockiert werden, wenn:

  • Sie strenge Firewall-Richtlinien für Hosts auf dem Knoten angewendet haben.

  • Sie verwenden Knoten, die mehrere Schnittstellen haben (multihomed).

In diesen Fällen müssen Sie diesen Datenverkehr ausdrücklich in Ihrer Host-Firewall zulassen oder im Fall von in der öffentlichen/privaten Cloud gehosteten Maschinen (z. B. AWS oder OpenStack) in Ihrer Sicherheitsgruppenkonfiguration. Bitte beachten Sie, dass, wenn Sie in Ihrer Sicherheitsgruppenkonfiguration eine Sicherheitsgruppe als Quelle oder Ziel verwenden, das explizite Öffnen von Ports nur für die private Schnittstelle der Knoten/Instanzen gilt.

Rancher AWS EC2 Security Group

Wenn Sie den AWS EC2-Knotentreiber verwenden, um Clusterknoten in Rancher bereitzustellen, können Sie wählen, ob Rancher eine Sicherheitsgruppe mit dem Namen rancher-nodes erstellen soll. Die folgenden Regeln werden automatisch zu dieser Sicherheitsgruppe hinzugefügt.

Typ Protokoll Portbereich Quelle/Ziel Regeltyp

SSH

TCP

22

0.0.0.0/0 und ::/0

Eingehend

HTTP

TCP

80

0.0.0.0/0 und ::/0

Eingehend

Benutzerdefinierte TCP-Regel

TCP

443

0.0.0.0/0 und ::/0

Eingehend

Benutzerdefinierte TCP-Regel

TCP

2376

0.0.0.0/0 und ::/0

Eingehend

Benutzerdefinierte TCP-Regel

TCP

6443

0.0.0.0/0 und ::/0

Eingehend

Benutzerdefinierte TCP-Regel

TCP

179

sg-xxx (rancher-nodes)

Eingehend

Benutzerdefinierte TCP-Regel

TCP

9345

sg-xxx (rancher-nodes)

Eingehend

Benutzerdefinierte TCP-Regel

TCP

2379-2380

sg-xxx (rancher-nodes)

Eingehend

Benutzerdefinierte TCP-Regel

TCP

10250-10252

sg-xxx (rancher-nodes)

Eingehend

Benutzerdefinierte TCP-Regel

TCP

10256

sg-xxx (rancher-nodes)

Eingehend

Benutzerdefinierte UDP-Regel

UDP

4789

sg-xxx (rancher-nodes)

Eingehend

Benutzerdefinierte UDP-Regel

UDP

8472

sg-xxx (rancher-nodes)

Eingehend

Benutzerdefinierte TCP-Regel

TCP

30000-32767

0.0.0.0/0 und ::/0

Eingehend

Benutzerdefinierte UDP-Regel

UDP

30000-32767

0.0.0.0/0 und ::/0

Eingehend

Aller Datenverkehr

Alle

Alle

0.0.0.0/0 und ::/0

Ausgehend

Öffnen von SUSE Linux-Ports

SUSE Linux kann eine Firewall haben, die standardmäßig alle Ports blockiert. Um die benötigten Ports zu öffnen, um den Host zu einem benutzerdefinierten Cluster hinzuzufügen,

  • SLES 15 / openSUSE Leap 15

  • SLES 12 / openSUSE Leap 42

  1. Verbinden Sie sich per SSH mit der Instanz.

  2. Starten Sie YaST im Textmodus:

     sudo yast2

  3. Navigieren Sie zu Sicherheit und Benutzer > Firewall > Zonen:öffentlich > Ports. Um innerhalb der Benutzeroberfläche zu navigieren, folgen Sie diesen Anweisungen.

  4. Um die erforderlichen Ports zu öffnen, geben Sie sie in die Felder TCP Ports und UDP Ports ein. In diesem Beispiel werden die Ports 9796 und 10250 ebenfalls für die Überwachung geöffnet. Die resultierenden Felder sollten wie folgt aussehen:

     TCP Ports
 22, 80, 443, 2376, 2379, 2380, 6443, 9099, 9796, 10250, 10254, 30000-32767
 UDP Ports
 8472, 30000-32767

  5. Wenn alle erforderlichen Ports eingegeben sind, wählen Sie Akzeptieren.

  1. Verbinden Sie sich per SSH mit der Instanz.

  2. Bearbeiten Sie /etc/sysconfig/SuSEfirewall2 und öffnen Sie die erforderlichen Ports. In diesem Beispiel werden die Ports 9796 und 10250 ebenfalls für die Überwachung geöffnet:

     FW_SERVICES_EXT_TCP="22 80 443 2376 2379 2380 6443 9099 9796 10250 10254 30000:32767"
 FW_SERVICES_EXT_UDP="8472 30000:32767"
 FW_ROUTE=yes

  3. Starten Sie die Firewall mit den neuen Ports neu:

     SuSEfirewall2

Ergebnis: Der Knoten verfügt über die offenen Ports, die für die Aufnahme in einen benutzerdefinierten Cluster erforderlich sind.