Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Requisitos de puertos

Para funcionar correctamente, Rancher requiere que se abran varios puertos en los nodos de Rancher y en los nodos del clúster de Kubernetes en sentido descendente.

Nodos de Rancher

La siguiente tabla enumera los puertos que deben estar abiertos hacia y desde los nodos que están ejecutando el servidor Rancher.

Los requisitos de puertos difieren según la arquitectura del servidor Rancher.

Rancher se puede instalar en cualquier clúster de Kubernetes. Para las instalaciones de Rancher en un clúster de Kubernetes K3s, RKE o RKE2, consulta las pestañas a continuación. Para otras distribuciones de Kubernetes, consulta la documentación de la distribución para los requisitos de puertos de los nodos del clúster.

Notas:

  • Los nodos de Rancher también pueden requerir acceso saliente adicional para cualquier proveedor de autenticación externo que esté configurado (por ejemplo, LDAP).

  • Kubernetes recomienda TCP 30000-32767 para los servicios de puerto de nodo.

  • Para los firewalls, puede ser necesario habilitar el tráfico dentro del clúster y el CIDR de los pods.

  • Los nodos de Rancher también pueden necesitar acceso saliente a una ubicación S3 externa que se utiliza para almacenar copias de seguridad del clúster (por ejemplo, Minio).

Puertos para los Nodos del Servidor Rancher en SUSE® Rancher Prime: K3s

Haga clic para expandir

El servidor K3s necesita que el puerto 6443 sea accesible por los nodos.

Los nodos necesitan poder alcanzar a otros nodos a través del puerto UDP 8472 cuando se utiliza Flannel VXLAN. El nodo no debe escuchar en ningún otro puerto. K3s utiliza túneles inversos de modo que los nodos establecen conexiones salientes al servidor y todo el tráfico de kubelet pasa a través de ese túnel. Sin embargo, si no utilizas Flannel y proporcionas tu propia CNI personalizada, entonces el puerto 8472 no es necesario para K3s.

Si deseas utilizar el servidor de métricas, necesitarás abrir el puerto 10250 en cada nodo.

Importante:

El puerto VXLAN en los nodos no debe exponerse al mundo, ya que permite que tu red de clúster sea accesible para cualquiera. Ejecuta tus nodos detrás de un firewall/grupo de seguridad que desactive el acceso al puerto 8472.

Las siguientes tablas desglosan los requisitos de puertos para el tráfico entrante y saliente:

Table 1. Reglas de Entrada para los Nodos del Servidor Rancher
Protocolo Puerto Fuente Descripción

TCP

80

Balanceador de carga/proxy que realiza la terminación SSL externa

Interfaz de usuario/API de Rancher cuando se utiliza la terminación SSL externa

TCP

443

<ul><li>nodos de servidor</li><li>nodos agentes</li><li>Kubernetes alojado/registrado</li><li>cualquier fuente que necesite poder usar la interfaz de usuario o API de Rancher</li></ul>

agente de Rancher, interfaz de usuario/API de Rancher, kubectl

TCP

6443

nodos de servidor K3s

API de Kubernetes

UDP

8472

nodos de servidor y agentes K3s

Requerido solo para Flannel VXLAN.

TCP

10250

nodos de servidor y agentes K3s

kubelet
Table 2. Reglas de salida para nodos de Rancher
Protocolo Puerto Destino Descripción

TCP

22

Cualquier IP de nodo de un nodo creado utilizando el controlador de nodos

Provisionamiento SSH de nodos utilizando el controlador de nodos

TCP

443

git.rancher.io

Catálogo de Rancher

TCP

2376

Cualquier IP de nodo de un nodo creado utilizando el controlador de nodos

Puerto TLS del daemon de Docker utilizado por Docker Machine

TCP

6443

API de Kubernetes alojada/importada

servidor API de Kubernetes

Puertos para los Nodos del Servidor Rancher en SUSE® Rancher Prime: RKE2

Haga clic para expandir

El servidor RKE2 necesita que los puertos 6443 y 9345 sean accesibles por otros nodos en el clúster.

Todos los nodos necesitan poder alcanzar a otros nodos a través del puerto UDP 8472 cuando se utiliza Flannel VXLAN.

Si deseas utilizar el servidor de métricas, necesitarás abrir el puerto 10250 en cada nodo.

Importante:

El puerto VXLAN en los nodos no debe exponerse al mundo, ya que permite que tu red de clúster sea accesible para cualquiera. Ejecuta tus nodos detrás de un firewall/grupo de seguridad que desactive el acceso al puerto 8472.
Table 3. Reglas de entrada para nodos de servidor RKE2
Protocolo Puerto Fuente Descripción

TCP

9345

nodos de servidor y agentes RKE2

Registro de nodos. El puerto debe estar abierto en todos los nodos de servidor a todos los demás nodos en el clúster.

TCP

6443

nodos de agente RKE2

API de Kubernetes

UDP

8472

nodos de servidor y agentes RKE2

Requerido solo para Flannel VXLAN

TCP

10250

nodos de servidor y agentes RKE2

kubelet

TCP

2379

Nodos de servidor RKE2

Puerto del cliente etcd

TCP

2380

Nodos de servidor RKE2

Puerto de pares etcd

TCP

30000-32767

nodos de servidor y agentes RKE2

Rango de puertos NodePort. Puede usar TCP o UDP.

TCP

5473

Pod de Calico-node conectándose al pod de typha

Requerido al desplegar con Calico

HTTP

80

Balanceador de carga/proxy que realiza la terminación SSL externa

Interfaz de usuario/API de Rancher cuando se utiliza la terminación SSL externa

HTTPS

443

<ul><li>Kubernetes alojado/registrado</li><li>cualquier fuente que necesite poder usar la interfaz de usuario o API de Rancher</li></ul>

agente de Rancher, interfaz de usuario/API de Rancher, kubectl. No es necesario si tienes un balanceador de carga que realice la terminación TLS.

Típicamente, se permite todo el tráfico saliente.

Puertos para el servidor Rancher en Docker

Haga clic para expandir

Las siguientes tablas desglosan los requisitos de puertos para los nodos de Rancher, para el tráfico entrante y saliente:

Table 4. Reglas de entrada para el nodo de Rancher
Protocolo Puerto Fuente Descripción

TCP

80

Balanceador de carga/proxy que realiza la terminación SSL externa

Interfaz de usuario/API de Rancher cuando se utiliza la terminación SSL externa

TCP

443

<ul><li>Kubernetes alojado/registrado</li><li>cualquier fuente que necesite poder usar la interfaz de usuario o API de Rancher</li></ul>

Agente de Rancher, Interfaz de usuario/API de Rancher, kubectl.
Table 5. Reglas de salida para el nodo de Rancher
Protocolo Puerto Fuente Descripción

TCP

22

Cualquier IP de nodo de un nodo creado utilizando el controlador de nodos

Provisionamiento SSH de nodos utilizando el controlador de nodos

TCP

443

git.rancher.io

catálogo de Rancher

TCP

2376

Cualquier IP de nodo de un nodo creado utilizando un controlador de nodo

Puerto TLS del daemon de Docker utilizado por Docker Machine

TCP

6443

API de Kubernetes alojada/importada

servidor API de Kubernetes

Nodos del clúster de Kubernetes en sentido descendente

Los clústeres de Kubernetes en sentido descendente ejecutan tus aplicaciones y servicios. Esta sección describe qué puertos deben abrirse en los nodos de los clústeres en sentido descendente para que Rancher pueda comunicarse con ellos.

Los requisitos de puertos difieren dependiendo de cómo se lanzó el clúster en sentido descendente. Cada una de las pestañas a continuación lista los puertos que deben abrirse para diferentes tipos de clúster.

El siguiente diagrama representa los puertos que están abiertos para cada tipo de clúster.

Requisitos básicos de puertos
Figure 1. Requisitos de puertos para el plano de gestión de Rancher

Si la seguridad no es una gran preocupación y estás de acuerdo con abrir algunos puertos adicionales, puedes usar la tabla en Puertos comúnmente utilizados como tu referencia de puertos en lugar de las tablas completas a continuación.

Puertos para SUSE Virtualization clústeres

Consulta el SUSE Virtualization Visión General de Integración para más información sobre los requisitos de puerto de Harvester.

Puertos para clústeres de Kubernetes lanzados por Rancher utilizando grupos de nodos

Haga clic para expandir

La siguiente tabla muestra los requisitos de puerto para Kubernetes Lanzado por Rancher con nodos creados en un Proveedor de Infraestructura.

Los puertos requeridos se abren automáticamente por Rancher durante la creación de clústeres en proveedores de nube como Amazon EC2 o DigitalOcean.
From / To Rancher Nodes etcd Plane Nodes Control Plane Nodes Worker Plane Nodes External Rancher Load Balancer Internet

Rancher Nodes (1)

22 TCP

git.rancher.io

2376 TCP

etcd Plane Nodes

443 TCP (3)

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

9099 TCP (4)

Control Plane Nodes

443 TCP (3)

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

10250 TCP

9099 TCP (4)

10254 TCP (4)

Worker Plane Nodes

443 TCP (3)

6443 TCP

443 TCP

8472 UDP

9099 TCP (4)

10254 TCP (4)

Kubernetes API Clients

6443 TCP (5)

Workload Clients or Load Balancer

30000-32767 TCP / UDP
(nodeport)

80 TCP (Ingress)

443 TCP (Ingress)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Required to fetch Rancher chart library.
3. Only without external load balancer in front of Rancher.
4. Local traffic to the node itself (not across nodes).
5. Only if Authorized Cluster Endpoints are activated.

Puertos para clústeres de Kubernetes lanzados por Rancher utilizando nodos personalizados

Haga clic para expandir

La siguiente tabla muestra los requisitos de puerto para Kubernetes lanzado por Rancher con nodos personalizados.

From / To Rancher Nodes etcd Plane Nodes Control Plane Nodes Worker Plane Nodes External Rancher Load Balancer Internet

Rancher Nodes (1)

git.rancher.io

etcd Plane Nodes

443 TCP (3)

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

4789 UDP (6)

9099 TCP (4)

Control Plane Nodes

443 TCP (3)

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

4789 UDP (6)

10250 TCP

9099 TCP (4)

10254 TCP (4)

Worker Plane Nodes

443 TCP (3)

6443 TCP

443 TCP

8472 UDP

4789 UDP (6)

9099 TCP (4)

10254 TCP (4)

Kubernetes API Clients

6443 TCP (5)

Workload Clients or Load Balancer

30000-32767 TCP / UDP
(nodeport)

80 TCP (Ingress)

443 TCP (Ingress)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Required to fetch Rancher chart library.
3. Only without external load balancer in front of Rancher.
4. Local traffic to the node itself (not across nodes), if you’ve enabled optional features such as Rancher Monitoring.
5. Only if Authorized Cluster Endpoints are activated.
6. Only if using Overlay mode on Windows cluster.

Puertos para clústeres de Kubernetes alojados

Haga clic para expandir

La siguiente tabla muestra los requisitos de puerto para clústeres alojados.

From / To Rancher Nodes Hosted / Imported Cluster External Rancher Load Balancer Internet

Rancher Nodes (1)

80 TCP

Kubernetes API
Endpoint Port (2)

git.rancher.io

8443 TCP

9443 TCP

Hosted / Imported Cluster

443 TCP (4)(5)

443 TCP (5)

Kubernetes API Clients

Cluster / Provider Specific (6)

Workload Client

Cluster / Provider Specific (7)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Only for hosted clusters.
3. Required to fetch Rancher chart library.
4. Only without external load balancer.
5. From worker nodes.
6. For direct access to the Kubernetes API without Rancher.
7. Usually Ingress backed by infrastructure load balancer and/or nodeport.

Puertos para clústeres registrados

Los clústeres registrados se llamaban clústeres importados antes de Rancher v2.5.
Haga clic para expandir

La siguiente tabla muestra los requisitos de puerto para clústeres registrados.

From / To Rancher Nodes Hosted / Imported Cluster External Rancher Load Balancer Internet

Rancher Nodes (1)

80 TCP

Kubernetes API
Endpoint Port (2)

git.rancher.io

8443 TCP

9443 TCP

Hosted / Imported Cluster

443 TCP (4)(5)

443 TCP (5)

Kubernetes API Clients

Cluster / Provider Specific (6)

Workload Client

Cluster / Provider Specific (7)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Only for hosted clusters.
3. Required to fetch Rancher chart library.
4. Only without external load balancer.
5. From worker nodes.
6. For direct access to the Kubernetes API without Rancher.
7. Usually Ingress backed by infrastructure load balancer and/or nodeport.

Otras consideraciones de puerto

Puertos comúnmente utilizados

Estos puertos suelen estar abiertos en sus nodos de Kubernetes, independientemente del tipo de clúster que sea.

Protocol Port Description

TCP

22

Node driver SSH provisioning

TCP

179

Calico BGP Port

TCP

2376

Node driver Docker daemon TLS port

TCP

2379

etcd client requests

TCP

2380

etcd peer communication

UDP

8472

Canal/Flannel VXLAN overlay networking

UDP

4789

Flannel VXLAN overlay networking on Windows cluster

TCP

8443

Rancher webhook

TCP

9099

Canal/Flannel livenessProbe/readinessProbe

TCP

9443

Rancher webhook

TCP

9796

Default port required by Monitoring to scrape metrics from Linux and Windows node-exporters

TCP

6783

Weave Port

UDP

6783-6784

Weave UDP Ports

TCP

10250

Metrics server communication with all nodes API

TCP

10254

Ingress controller livenessProbe/readinessProbe

TCP/UDP

30000-32767

NodePort port range

Tráfico de nodo local

Los puertos marcados como local traffic (es decir, 9099 TCP) en los requisitos anteriores se utilizan para las comprobaciones de salud de Kubernetes (livenessProbe y readinessProbe). Estas comprobaciones de salud se ejecutan en el propio nodo. En la mayoría de los entornos de nube, este tráfico local está permitido por defecto.

Sin embargo, este tráfico puede ser bloqueado cuando:

  • Has aplicado políticas de firewall estrictas en el nodo.

  • Estás utilizando nodos que tienen múltiples interfaces (multihomed).

En estos casos, tienes que permitir explícitamente este tráfico en tu firewall de host, o en el caso de máquinas alojadas en la nube pública o privada (es decir, AWS u OpenStack), en la configuración de tu grupo de seguridad. Ten en cuenta que al usar un grupo de seguridad como origen o destino en tu grupo de seguridad, abrir puertos explícitamente solo se aplica a la interfaz privada de los nodos/instancias.

Grupo de seguridad de Rancher AWS EC2

Al usar el controlador de nodo AWS EC2 para aprovisionar nodos de clúster en Rancher, puedes optar por permitir que Rancher cree un grupo de seguridad llamado rancher-nodes. Las siguientes reglas se añaden automáticamente a este grupo de seguridad.

Tipo Protocolo Rango de Puertos Origen/Destino Tipo de Regla

SSH

TCP

22

0.0.0.0/0 y ::/0

Entrante

HTTP

TCP

80

0.0.0.0/0 y ::/0

Entrante

Regla TCP personalizada

TCP

443

0.0.0.0/0 y ::/0

Entrante

Regla TCP personalizada

TCP

2376

0.0.0.0/0 y ::/0

Entrante

Regla TCP personalizada

TCP

6443

0.0.0.0/0 y ::/0

Entrante

Regla TCP personalizada

TCP

179

sg-xxx (nodos-rancher)

Entrante

Regla TCP personalizada

TCP

9345

sg-xxx (nodos-rancher)

Entrante

Regla TCP personalizada

TCP

2379-2380

sg-xxx (nodos-rancher)

Entrante

Regla TCP personalizada

TCP

10250-10252

sg-xxx (nodos-rancher)

Entrante

Regla TCP personalizada

TCP

10256

sg-xxx (nodos-rancher)

Entrante

Regla UDP personalizada

UDP

4789

sg-xxx (nodos-rancher)

Entrante

Regla UDP personalizada

UDP

8472

sg-xxx (nodos-rancher)

Entrante

Regla TCP personalizada

TCP

30000-32767

0.0.0.0/0 y ::/0

Entrante

Regla UDP personalizada

UDP

30000-32767

0.0.0.0/0 y ::/0

Entrante

Todo el tráfico

Todas

Todas

0.0.0.0/0 y ::/0

Saliente

Apertura de Puertos de SUSE Linux

SUSE Linux puede tener un firewall que bloquea todos los puertos por defecto. Para abrir los puertos necesarios para añadir el host a un clúster personalizado,

  • SLES 15 / openSUSE Leap 15

  • SLES 12 / openSUSE Leap 42

  1. Conectaos por SSH a la instancia.

  2. Iniciar YaST en modo de texto:

     sudo yast2

  3. Navegar a Seguridad y Usuarios > Firewall > Zonas:pública > Puertos. Para navegar dentro de la interfaz, seguid estas instrucciones.

  4. Para abrir los puertos requeridos, introducidlos en los campos Puertos TCP y Puertos UDP. En este ejemplo, los puertos 9796 y 10250 también están abiertos para la monitorización. Los campos resultantes deberían parecerse a lo siguiente:

     TCP Ports
 22, 80, 443, 2376, 2379, 2380, 6443, 9099, 9796, 10250, 10254, 30000-32767
 UDP Ports
 8472, 30000-32767

  5. Cuando todos los puertos requeridos estén introducidos, seleccionad Aceptar.

  1. Conectaos por SSH a la instancia.

  2. Editad /etc/sysconfig/SuSEfirewall2 y abrid los puertos requeridos. En este ejemplo, los puertos 9796 y 10250 también están abiertos para la monitorización:

     FW_SERVICES_EXT_TCP="22 80 443 2376 2379 2380 6443 9099 9796 10250 10254 30000:32767"
 FW_SERVICES_EXT_UDP="8472 30000:32767"
 FW_ROUTE=yes

  3. Reiniciar el firewall con los nuevos puertos:

     SuSEfirewall2

Resultado: El nodo tiene los puertos abiertos requeridos para ser añadido a un clúster personalizado.