Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Exigences de port

Pour fonctionner correctement, Rancher nécessite qu’un certain nombre de ports soient ouverts sur les nœuds Rancher et sur les nœuds du cluster Kubernetes en aval.

Nœuds Rancher

Le tableau suivant répertorie les ports qui doivent être ouverts vers et depuis les nœuds exécutant le serveur Rancher.

Les exigences de port varient en fonction de l’architecture du serveur Rancher.

Rancher peut être installé sur n’importe quel cluster Kubernetes. Pour les installations de Rancher sur un cluster Kubernetes K3s, RKE ou RKE2, reportez-vous aux onglets ci-dessous. Pour d’autres distributions Kubernetes, consultez la documentation de la distribution pour les exigences de port des nœuds du cluster.

Remarques :

  • Les nœuds Rancher peuvent également nécessiter un accès sortant supplémentaire pour tout fournisseur d’authentification externe configuré (par exemple, LDAP).

  • Kubernetes recommande TCP 30000-32767 pour les services de port de nœud.

  • Pour les passerelles de périmètre de sécurité, le trafic peut devoir être autorisé au sein du cluster et du CIDR des pods.

  • Les nœuds Rancher peuvent également avoir besoin d’un accès sortant à un emplacement S3 externe utilisé pour stocker les sauvegardes du cluster (par exemple, Minio).

Ports pour les nœuds du serveur Rancher sur SUSE® Rancher Prime: K3s

Cliquer pour développer

Le serveur K3s doit avoir le port 6443 accessible par les nœuds.

Les nœuds doivent pouvoir atteindre d’autres nœuds via le port UDP 8472 lorsque Flannel VXLAN est utilisé. Le nœud ne doit pas écouter sur aucun autre port. K3s utilise le tunneling inversé de sorte que les nœuds établissent des connexions sortantes vers le serveur et tout le trafic kubelet passe par ce tunnel. Cependant, si vous n’utilisez pas Flannel et fournissez votre propre CNI personnalisé, alors le port 8472 n’est pas nécessaire pour K3s.

Si vous souhaitez utiliser le serveur de métriques, vous devrez ouvrir le port 10250 sur chaque nœud.

Important :

Le port VXLAN sur les nœuds ne doit pas être exposé au monde car cela ouvre votre réseau de cluster à tout le monde. Exécutez vos nœuds derrière un pare-feu/groupe de sécurité qui désactive l’accès au port 8472.

Les tableaux suivants détaillent les exigences de port pour le trafic entrant et sortant :

Table 1. Règles entrantes pour les nœuds de serveur Rancher
Protocole Port Source Description

TCP

80

Équilibreur de charge/proxy qui effectue la terminaison SSL externe

Interface utilisateur/API Rancher lorsque la terminaison SSL externe est utilisée

TCP

443

<ul><li>nœuds de serveur</li><li>nœuds agents</li><li>Kubernetes hébergé/enregistré</li><li>toute source qui doit pouvoir utiliser l’interface utilisateur ou l’API Rancher</li></ul>

Agent Rancher, interface utilisateur/API Rancher, kubectl

TCP

6443

Nœuds de serveur K3s

Kubernetes API

UDP

8472

Nœuds de serveur et agents K3s

Requis uniquement pour Flannel VXLAN.

TCP

10250

Nœuds de serveur et agents K3s

kubelet
Table 2. Règles sortantes pour les nœuds Rancher
Protocole Port Destination Description

TCP

22

Toute adresse IP de nœud d’un nœud créé à l’aide du pilote de nœud

Provisionnement SSH des nœuds utilisant le pilote de nœud

TCP

443

git.rancher.io

Catalogue Rancher

TCP

2376

Toute adresse IP de nœud d’un nœud créé à l’aide du pilote de nœud

Port TLS du démon Docker utilisé par Docker Machine

TCP

6443

API Kubernetes hébergée/importée

Serveur API Kubernetes

Ports pour les nœuds du serveur Rancher sur SUSE® Rancher Prime: RKE2

Cliquer pour développer

Le serveur RKE2 a besoin que les ports 6443 et 9345 soient accessibles par les autres nœuds du cluster.

Tous les nœuds doivent pouvoir atteindre les autres nœuds via le port UDP 8472 lorsque Flannel VXLAN est utilisé.

Si vous souhaitez utiliser le serveur de métriques, vous devrez ouvrir le port 10250 sur chaque nœud.

Important :

Le port VXLAN sur les nœuds ne doit pas être exposé au monde car cela ouvre votre réseau de cluster à tout le monde. Exécutez vos nœuds derrière un pare-feu/groupe de sécurité qui désactive l’accès au port 8472.
Table 3. Règles entrantes pour les nœuds de serveur RKE2
Protocole Port Source Description

TCP

9345

Nœuds de serveur et agents RKE2

Enregistrement des nœuds. Les ports doivent être ouverts sur tous les nœuds de serveur vers tous les autres nœuds du cluster.

TCP

6443

Nœuds agents RKE2

Kubernetes API

UDP

8472

Nœuds de serveur et agents RKE2

Requis uniquement pour Flannel VXLAN

TCP

10250

Nœuds de serveur et agents RKE2

kubelet

TCP

2379

Nœuds de serveur RKE2

Port client etcd

TCP

2380

Nœuds de serveur RKE2

Port pair etcd

TCP

30000-32767

Nœuds de serveur et agents RKE2

Plage de ports NodePort. Peut utiliser TCP ou UDP.

TCP

5473

Pod calico-node se connectant au pod typha

Nécessaire lors du déploiement avec Calico

HTTP

80

Équilibreur de charge/proxy qui effectue la terminaison SSL externe

Interface utilisateur/API Rancher lorsque la terminaison SSL externe est utilisée

HTTPS

443

<ul><li>Kubernetes hébergé/enregistré</li><li>toute source qui doit pouvoir utiliser l’interface utilisateur ou l’API de Rancher</li></ul>

Agent Rancher, interface utilisateur/API Rancher, kubectl. Pas nécessaire si vous avez un équilibreur de charge effectuant la terminaison TLS.

En général, tout le trafic sortant est autorisé.

Ports pour le serveur Rancher dans Docker

Cliquer pour développer

Les tableaux suivants détaillent les exigences en matière de ports pour les nœuds Rancher, pour le trafic entrant et sortant :

Table 4. Règles entrantes pour le nœud Rancher
Protocole Port Source Description

TCP

80

Équilibreur de charge/proxy qui effectue la terminaison SSL externe

Interface utilisateur/API Rancher lorsque la terminaison SSL externe est utilisée

TCP

443

<ul><li>Kubernetes hébergé/enregistré</li><li>toute source qui doit pouvoir utiliser l’interface utilisateur ou l’API de Rancher</li></ul>

Agent Rancher, interface utilisateur/API Rancher, kubectl
Table 5. Règles sortantes pour le nœud Rancher
Protocole Port Source Description

TCP

22

Toute adresse IP de nœud d’un nœud créé à l’aide du pilote de nœud

Provisionnement SSH des nœuds utilisant le pilote de nœud

TCP

443

git.rancher.io

Catalogue Rancher

TCP

2376

Toute adresse IP de nœud d’un nœud créé à l’aide d’un pilote de nœud

Port TLS du démon Docker utilisé par Docker Machine

TCP

6443

API Kubernetes hébergée/importée

Serveur API Kubernetes

Nœuds de cluster Kubernetes en aval

Les clusters Kubernetes en aval exécutent vos applis et services. Cette section décrit quels ports doivent être ouverts sur les nœuds des clusters en aval afin que Rancher puisse communiquer avec eux.

Les exigences en matière de ports diffèrent selon la manière dont le cluster en aval a été lancé. Chacun des onglets ci-dessous répertorie les ports qui doivent être ouverts pour différents types de cluster.

Le diagramme suivant représente les ports qui sont ouverts pour chaque type de cluster.

Exigences de port de base
Figure 1. Exigences de port pour le plan de gestion Rancher

Si la sécurité n’est pas une grande préoccupation et que vous êtes d’accord pour ouvrir quelques ports supplémentaires, vous pouvez utiliser le tableau dans Ports couramment utilisés comme référence de port au lieu des tableaux complets ci-dessous.

Ports pour les clusters SUSE Virtualization

Référez-vous au SUSE Virtualization Aperçu de l’intégration pour plus d’informations sur les exigences de port de Harvester.

Ports pour les clusters Kubernetes lancés par Rancher utilisant des pools de nœuds

Cliquer pour développer

Le tableau suivant représente les exigences de port pour Kubernetes lancé par Rancher avec des nœuds créés dans un fournisseur d’infrastructure.

Les ports requis sont automatiquement ouverts par Rancher lors de la création de clusters dans des fournisseurs de cloud comme Amazon EC2 ou DigitalOcean.
From / To Rancher Nodes etcd Plane Nodes Control Plane Nodes Worker Plane Nodes External Rancher Load Balancer Internet

Rancher Nodes (1)

22 TCP

git.rancher.io

2376 TCP

etcd Plane Nodes

443 TCP (3)

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

9099 TCP (4)

Control Plane Nodes

443 TCP (3)

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

10250 TCP

9099 TCP (4)

10254 TCP (4)

Worker Plane Nodes

443 TCP (3)

6443 TCP

443 TCP

8472 UDP

9099 TCP (4)

10254 TCP (4)

Kubernetes API Clients

6443 TCP (5)

Workload Clients or Load Balancer

30000-32767 TCP / UDP
(nodeport)

80 TCP (Ingress)

443 TCP (Ingress)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Required to fetch Rancher chart library.
3. Only without external load balancer in front of Rancher.
4. Local traffic to the node itself (not across nodes).
5. Only if Authorized Cluster Endpoints are activated.

Ports pour les clusters Kubernetes lancés par Rancher utilisant des nœuds personnalisés

Cliquer pour développer

Le tableau suivant représente les exigences de port pour Kubernetes lancé par Rancher avec nœuds personnalisés.

From / To Rancher Nodes etcd Plane Nodes Control Plane Nodes Worker Plane Nodes External Rancher Load Balancer Internet

Rancher Nodes (1)

git.rancher.io

etcd Plane Nodes

443 TCP (3)

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

4789 UDP (6)

9099 TCP (4)

Control Plane Nodes

443 TCP (3)

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

4789 UDP (6)

10250 TCP

9099 TCP (4)

10254 TCP (4)

Worker Plane Nodes

443 TCP (3)

6443 TCP

443 TCP

8472 UDP

4789 UDP (6)

9099 TCP (4)

10254 TCP (4)

Kubernetes API Clients

6443 TCP (5)

Workload Clients or Load Balancer

30000-32767 TCP / UDP
(nodeport)

80 TCP (Ingress)

443 TCP (Ingress)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Required to fetch Rancher chart library.
3. Only without external load balancer in front of Rancher.
4. Local traffic to the node itself (not across nodes), if you’ve enabled optional features such as Rancher Monitoring.
5. Only if Authorized Cluster Endpoints are activated.
6. Only if using Overlay mode on Windows cluster.

Ports pour les clusters Kubernetes hébergés

Cliquer pour développer

Le tableau suivant représente les exigences de port pour clusters hébergés.

From / To Rancher Nodes Hosted / Imported Cluster External Rancher Load Balancer Internet

Rancher Nodes (1)

80 TCP

Kubernetes API
Endpoint Port (2)

git.rancher.io

8443 TCP

9443 TCP

Hosted / Imported Cluster

443 TCP (4)(5)

443 TCP (5)

Kubernetes API Clients

Cluster / Provider Specific (6)

Workload Client

Cluster / Provider Specific (7)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Only for hosted clusters.
3. Required to fetch Rancher chart library.
4. Only without external load balancer.
5. From worker nodes.
6. For direct access to the Kubernetes API without Rancher.
7. Usually Ingress backed by infrastructure load balancer and/or nodeport.

Ports pour les clusters enregistrés

Les clusters enregistrés étaient appelés clusters importés avant Rancher v2.5.
Cliquer pour développer

Le tableau suivant représente les exigences de port pour clusters enregistrés.

From / To Rancher Nodes Hosted / Imported Cluster External Rancher Load Balancer Internet

Rancher Nodes (1)

80 TCP

Kubernetes API
Endpoint Port (2)

git.rancher.io

8443 TCP

9443 TCP

Hosted / Imported Cluster

443 TCP (4)(5)

443 TCP (5)

Kubernetes API Clients

Cluster / Provider Specific (6)

Workload Client

Cluster / Provider Specific (7)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Only for hosted clusters.
3. Required to fetch Rancher chart library.
4. Only without external load balancer.
5. From worker nodes.
6. For direct access to the Kubernetes API without Rancher.
7. Usually Ingress backed by infrastructure load balancer and/or nodeport.

Autres considérations sur les ports

Ports couramment utilisés

Ces ports sont généralement ouverts sur vos nœuds Kubernetes, quel que soit le type de cluster.

Protocol Port Description

TCP

22

Node driver SSH provisioning

TCP

179

Calico BGP Port

TCP

2376

Node driver Docker daemon TLS port

TCP

2379

etcd client requests

TCP

2380

etcd peer communication

UDP

8472

Canal/Flannel VXLAN overlay networking

UDP

4789

Flannel VXLAN overlay networking on Windows cluster

TCP

8443

Rancher webhook

TCP

9099

Canal/Flannel livenessProbe/readinessProbe

TCP

9443

Rancher webhook

TCP

9796

Default port required by Monitoring to scrape metrics from Linux and Windows node-exporters

TCP

6783

Weave Port

UDP

6783-6784

Weave UDP Ports

TCP

10250

Metrics server communication with all nodes API

TCP

10254

Ingress controller livenessProbe/readinessProbe

TCP/UDP

30000-32767

NodePort port range

Trafic de nœud local

Les ports marqués comme local traffic (c’est-à-dire, 9099 TCP) dans les exigences ci-dessus sont utilisés pour les vérifications de santé Kubernetes (livenessProbe etreadinessProbe). Ces vérifications de santé sont exécutées sur le nœud lui-même. Dans la plupart des environnements cloud, ce trafic local est autorisé par défaut.

Cependant, ce trafic peut être bloqué lorsque :

  • Vous avez appliqué des politiques de passerelle de périmètre de sécurité strictes sur le nœud.

  • Vous utilisez des nœuds qui ont plusieurs interfaces (multihomés).

Dans ces cas, vous devez explicitement autoriser ce trafic dans votre pare-feu hôte, ou dans le cas de machines hébergées dans le cloud public/privé (c’est-à-dire AWS ou OpenStack), dans la configuration de votre groupe de sécurité. Gardez à l’esprit que lorsque vous utilisez un groupe de sécurité comme source ou destination dans votre groupe de sécurité, l’ouverture explicite des ports ne s’applique qu’à l’interface privée des nœuds / instances.

Groupe de sécurité AWS EC2 Rancher

Lorsque vous utilisez le driver de nœud AWS EC2 pour provisionner des nœuds de cluster dans Rancher, vous pouvez choisir de laisser Rancher créer un groupe de sécurité appelé rancher-nodes. Les règles suivantes sont automatiquement ajoutées à ce groupe de sécurité.

Type Protocole Plage de ports Source/Destination Type de règle

SSH

TCP

22

0.0.0.0/0 et ::/0

Entrant

HTTP

TCP

80

0.0.0.0/0 et ::/0

Entrant

Règle TCP personnalisée

TCP

443

0.0.0.0/0 et ::/0

Entrant

Règle TCP personnalisée

TCP

2376

0.0.0.0/0 et ::/0

Entrant

Règle TCP personnalisée

TCP

6443

0.0.0.0/0 et ::/0

Entrant

Règle TCP personnalisée

TCP

179

sg-xxx (rancher-nodes)

Entrant

Règle TCP personnalisée

TCP

9345

sg-xxx (rancher-nodes)

Entrant

Règle TCP personnalisée

TCP

2379-2380

sg-xxx (rancher-nodes)

Entrant

Règle TCP personnalisée

TCP

10250-10252

sg-xxx (rancher-nodes)

Entrant

Règle TCP personnalisée

TCP

10256

sg-xxx (rancher-nodes)

Entrant

Règle UDP personnalisée

UDP

4789

sg-xxx (rancher-nodes)

Entrant

Règle UDP personnalisée

UDP

8472

sg-xxx (rancher-nodes)

Entrant

Règle TCP personnalisée

TCP

30000-32767

0.0.0.0/0 et ::/0

Entrant

Règle UDP personnalisée

UDP

30000-32767

0.0.0.0/0 et ::/0

Entrant

Tout le trafic

Toutes

Toutes

0.0.0.0/0 et ::/0

Sortie

Ouverture des ports SUSE Linux

SUSE Linux peut avoir une passerelle de périmètre de sécurité qui bloque tous les ports par défaut. Pour ouvrir les ports nécessaires à l’ajout de l’hôte à un cluster personnalisé,

  • SLES 15 / openSUSE Leap 15

  • SLES 12 / openSUSE Leap 42

  1. Connectez-vous à l’instance par SSH.

  2. Démarrez YaST en mode texte :

     sudo yast2

  3. Accédez à Sécurité et utilisateurs > Passerelle de périmètre de sécurité > Zones : public > Ports. Pour naviguer dans l’interface, suivez ces instructions.

  4. Pour ouvrir les ports requis, saisissez-les dans les champs Ports TCP et Ports UDP. Dans cet exemple, les ports 9796 et 10250 sont également ouverts pour la surveillance. Les champs résultants devraient ressembler à ce qui suit :

     TCP Ports
 22, 80, 443, 2376, 2379, 2380, 6443, 9099, 9796, 10250, 10254, 30000-32767
 UDP Ports
 8472, 30000-32767

  5. Lorsque tous les ports requis sont saisis, sélectionnez Accepter.

  1. Connectez-vous à l’instance par SSH.

  2. Modifiez /etc/sysconfig/SuSEfirewall2 et ouvrez les ports requis. Dans cet exemple, les ports 9796 et 10250 sont également ouverts pour la surveillance :

     FW_SERVICES_EXT_TCP="22 80 443 2376 2379 2380 6443 9099 9796 10250 10254 30000:32767"
 FW_SERVICES_EXT_UDP="8472 30000:32767"
 FW_ROUTE=yes

  3. Redémarrez la passerelle de périmètre de sécurité avec les nouveaux ports :

     SuSEfirewall2

Résultat : Le nœud a les ports ouverts nécessaires pour être ajouté à un cluster personnalisé.