この文書は自動機械翻訳技術を使用して翻訳されています。正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。相違がある場合は、元の英語版英語が優先され、正式なテキストとなります。

ポートの要件

Rancherが適切に動作するためには、RancherノードとダウンストリームKubernetesクラスターのノードでいくつかのポートを開放する必要があります。

Rancherノード

以下の表は、Rancherサーバーを実行しているノードとの間で開放する必要があるポートを示しています。

ポート要件は、Rancherサーバーのアーキテクチャに基づいて異なります。

Rancherは、任意のKubernetesクラスターにインストールできます。K3s、RKE、またはRKE2 KubernetesクラスターにRancherをインストールする場合は、以下のタブを参照してください。他のKubernetesディストリビューションについては、クラスターのノードに対するポート要件について、そのディストリビューションのドキュメントを参照してください。

メモ:

Rancherノードは、設定された外部認証プロバイダー（例えばLDAP）への追加のアウトバウンドアクセスが必要な場合があります。
Kubernetesは、ノードポートサービスに対してTCP 30000-32767を推奨しています。
ファイアウォールについては、クラスターおよびポッドCIDR内でトラフィックを有効にする必要がある場合があります。
Rancherノードは、クラスターのバックアップを保存するために使用される外部S3ロケーション（例えばMinio）へのアウトバウンドアクセスが必要な場合があります。

SUSE® Rancher Prime: K3sのRancherサーバーノードのポート

クリックして開く

K3sサーバーは、ノードからアクセスできるようにポート6443が必要です。

Flannel VXLANが使用されている場合、ノードはUDPポート8472を介して他のノードに到達できる必要があります。ノードは他のポートでリッスンしてはいけません。K3sはリバーストンネリングを使用して、ノードがサーバーへのアウトバウンド接続を行い、すべてのkubeletトラフィックがそのトンネルを通過するようにします。ただし、Flannelを使用せずに独自のカスタムCNIを提供する場合、K3sにはポート8472は必要ありません。

メトリクスサーバーを利用する場合は、各ノードでポート10250を開く必要があります。

重要:

ノードのVXLANポートは、クラスターネットワークが誰でもアクセスできるようになるため、外部に公開してはいけません。ポート8472へのアクセスを無効にするファイアウォール/セキュリティグループの背後でノードを実行してください。

以下の表は、インバウンドおよびアウトバウンドトラフィックのポート要件の内訳を示しています：

Table 1. Rancherサーバーノードのインバウンドルール
プロトコル	ポート	ソース	説明
TCP	80	外部SSL終端処理を行うロードバランサー/プロキシ	外部SSL終端が使用される場合のRancher UI/API
TCP	443	<ul><li>サーバーノード</li><li>エージェントノード</li><li>ホストされた/登録されたKubernetes</li><li>Rancher UIまたはAPIを使用する必要がある任意のソース</li></ul>	Rancherエージェント、Rancher UI/API、kubectl
TCP	6443	K3sサーバーノード	Kubernetes API
UDP	8472	K3sサーバーおよびエージェントノード	Flannel VXLANにのみ必要です。
TCP	10250	K3sサーバーおよびエージェントノード	kubelet

Table 2. Rancherノードのためのアウトバウンドルール
プロトコル	ポート	宛先	説明
TCP	22	ノードドライバーを使用して作成されたノードからの任意のノードIP	ノードドライバーを使用したノードのSSHプロビジョニング
TCP	443	git.rancher.io	Rancherカタログ
TCP	2376	ノードドライバーを使用して作成されたノードからの任意のノードIP	Docker Machineによって使用されるDockerデーモンTLSポート
TCP	6443	ホストされた/インポートされたKubernetes API	Kubernetes APIサーバー

SUSE® Rancher Prime: RKE2のRancherサーバーノードのポート

クリックして開く

RKE2サーバーは、クラスター内の他のノードからポート6443と9345にアクセスできる必要があります。

Flannel VXLANが使用されている場合、すべてのノードはUDPポート8472を介して他のノードに到達できる必要があります。

メトリクスサーバーを利用する場合は、各ノードでポート10250を開く必要があります。

重要:

Table 3. RKE2サーバーノードのためのインバウンドルール
プロトコル	ポート	ソース	説明
TCP	9345	RKE2サーバーおよびエージェントノード	ノード登録。ポートは、クラスター内のすべての他のノードに対してすべてのサーバーノードで開いている必要があります。
TCP	6443	RKE2エージェントノード	Kubernetes API
UDP	8472	RKE2サーバーおよびエージェントノード	Flannel VXLANにのみ必要
TCP	10250	RKE2サーバーおよびエージェントノード	kubelet
TCP	2379	RKE2サーバーノード	etcdクライアントポート
TCP	2380	RKE2サーバーノード	etcdピアポート
TCP	30000-32767	RKE2サーバーおよびエージェントノード	NodePortポート範囲。TCPまたはUDPを使用できます。
TCP	5473	Calico-nodeポッドがtyphaポッドに接続しています。	Calicoを使用してデプロイする際に必要です。
HTTP	80	外部SSL終端処理を行うロードバランサー/プロキシ	外部SSL終端が使用される場合のRancher UI/API
HTTPS	443	<ul><li>ホストされた/登録されたKubernetes</li><li>Rancher UIまたはAPIを使用する必要がある任意のソース</li></ul>	Rancherエージェント、Rancher UI/API、kubectl。TLS終端処理を行うロードバランサーがある場合は必要ありません。

通常、すべてのアウトバウンドトラフィックが許可されます。

Docker内のRancher Serverのポート

クリックして開く

以下の表は、Rancherノードのインバウンドおよびアウトバウンドトラフィックに必要なポートの内訳を示しています：

Table 4. Rancherノードのインバウンドルール
プロトコル	ポート	ソース	説明
TCP	80	外部SSL終端処理を行うロードバランサー/プロキシ	外部SSL終端が使用される場合のRancher UI/API
TCP	443	<ul><li>ホストされた/登録されたKubernetes</li><li>Rancher UIまたはAPIを使用する必要がある任意のソース</li></ul>	Rancherエージェント、Rancher UI/API、kubectl

Table 5. Rancherノードのアウトバウンドルール
プロトコル	ポート	ソース	説明
TCP	22	ノードドライバーを使用して作成されたノードからの任意のノードIP	ノードドライバーを使用したノードのSSHプロビジョニング
TCP	443	git.rancher.io	Rancherカタログ
TCP	2376	ノードドライバーを使用して作成されたノードからの任意のノードIP	Docker Machineによって使用されるDockerデーモンTLSポート
TCP	6443	ホストされた/インポートされたKubernetes API	Kubernetes APIサーバー

ダウンストリームKubernetesクラスターのノード

ダウンストリームKubernetesクラスターは、アプリとサービスを実行します。このセクションでは、Rancherがダウンストリームクラスターのノードと通信できるように、どのポートを開く必要があるかを説明します。

ポート要件は、ダウンストリームクラスターの起動方法によって異なります。以下の各タブには、異なるクラスタータイプのために開く必要があるポートがリストされています。

以下の図は、各クラスタータイプのために開かれるポートを示しています。

Figure 1. Rancher管理プレーンのポート要件

セキュリティが大きな懸念でなく、いくつかの追加ポートを開放することに問題がない場合は、以下の包括的な表の代わりに、一般的に使用されるポートの表をポートの参照として使用できます。

SUSE Virtualizationクラスターのポート

Harvesterのポート要件に関する詳細情報は、SUSE Virtualization統合概要を参照してください。

ノードプールを使用してRancherが起動したKubernetesクラスターのポート

クリックして展開

以下の表は、Rancherが起動したKubernetesのポート要件を、インフラストラクチャプロバイダーで作成されたノードと共に示しています。

必要なポートは、Amazon EC2やDigitalOceanなどのクラウドプロバイダーでクラスターを作成する際に、Rancherによって自動的に開放されます。

From / To

Rancher Nodes

etcd Plane Nodes

Control Plane Nodes

Worker Plane Nodes

External Rancher Load Balancer

Internet

Rancher Nodes ⁽¹⁾

22 TCP

git.rancher.io

2376 TCP

etcd Plane Nodes

443 TCP ⁽³⁾

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

9099 TCP ⁽⁴⁾

Control Plane Nodes

443 TCP ⁽³⁾

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

10250 TCP

9099 TCP ⁽⁴⁾

10254 TCP ⁽⁴⁾

Worker Plane Nodes

443 TCP ⁽³⁾

6443 TCP

443 TCP

8472 UDP

9099 TCP ⁽⁴⁾

10254 TCP ⁽⁴⁾

Kubernetes API Clients

6443 TCP ⁽⁵⁾

Workload Clients or Load Balancer

30000-32767 TCP / UDP
(nodeport)

80 TCP (Ingress)

443 TCP (Ingress)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Required to fetch Rancher chart library.
3. Only without external load balancer in front of Rancher.
4. Local traffic to the node itself (not across nodes).
5. Only if Authorized Cluster Endpoints are activated.

カスタムノードを使用してRancherが起動したKubernetesクラスターのポート

クリックして開く

以下の表は、Rancherが起動したKubernetesのポート要件を、カスタムノードと共に示しています。

From / To

Rancher Nodes

etcd Plane Nodes

Control Plane Nodes

Worker Plane Nodes

External Rancher Load Balancer

Internet

Rancher Nodes ⁽¹⁾

git.rancher.io

etcd Plane Nodes

443 TCP ⁽³⁾

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

4789 UDP ⁽⁶⁾

9099 TCP ⁽⁴⁾

Control Plane Nodes

443 TCP ⁽³⁾

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

4789 UDP ⁽⁶⁾

10250 TCP

9099 TCP ⁽⁴⁾

10254 TCP ⁽⁴⁾

Worker Plane Nodes

443 TCP ⁽³⁾

6443 TCP

443 TCP

8472 UDP

4789 UDP ⁽⁶⁾

9099 TCP ⁽⁴⁾

10254 TCP ⁽⁴⁾

Kubernetes API Clients

6443 TCP ⁽⁵⁾

Workload Clients or Load Balancer

30000-32767 TCP / UDP
(nodeport)

80 TCP (Ingress)

443 TCP (Ingress)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Required to fetch Rancher chart library.
3. Only without external load balancer in front of Rancher.
4. Local traffic to the node itself (not across nodes), if you’ve enabled optional features such as Rancher Monitoring.
5. Only if Authorized Cluster Endpoints are activated.
6. Only if using Overlay mode on Windows cluster.

ホスト型Kubernetesクラスターのポート

クリックして展開

以下の表は、ホスト型クラスターのポート要件を示しています。

From / To	Rancher Nodes	Hosted / Imported Cluster	External Rancher Load Balancer	Internet
Rancher Nodes ⁽¹⁾	80 TCP	Kubernetes API Endpoint Port ⁽²⁾		git.rancher.io
8443 TCP
9443 TCP
Hosted / Imported Cluster	443 TCP ⁽⁴⁾⁽⁵⁾		443 TCP ⁽⁵⁾
Kubernetes API Clients		Cluster / Provider Specific ⁽⁶⁾
Workload Client		Cluster / Provider Specific ⁽⁷⁾
Notes: 1. Nodes running standalone server or Rancher HA deployment. 2. Only for hosted clusters. 3. Required to fetch Rancher chart library. 4. Only without external load balancer. 5. From worker nodes. 6. For direct access to the Kubernetes API without Rancher. 7. Usually Ingress backed by infrastructure load balancer and/or nodeport.

From / To

Rancher Nodes

Hosted / Imported Cluster

External Rancher Load Balancer

Internet

Rancher Nodes ⁽¹⁾

80 TCP

Kubernetes API
Endpoint Port ⁽²⁾

git.rancher.io

8443 TCP

9443 TCP

Hosted / Imported Cluster

443 TCP ⁽⁴⁾⁽⁵⁾

443 TCP ⁽⁵⁾

Kubernetes API Clients

Cluster / Provider Specific ⁽⁶⁾

Workload Client

Cluster / Provider Specific ⁽⁷⁾

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Only for hosted clusters.
3. Required to fetch Rancher chart library.
4. Only without external load balancer.
5. From worker nodes.
6. For direct access to the Kubernetes API without Rancher.
7. Usually Ingress backed by infrastructure load balancer and/or nodeport.

登録クラスターのポート

登録クラスターは、Rancher v2.5以前はインポートされたクラスターと呼ばれていました。

クリックして開く

以下の表は、登録クラスターのポート要件を示しています。

From / To	Rancher Nodes	Hosted / Imported Cluster	External Rancher Load Balancer	Internet
Rancher Nodes ⁽¹⁾	80 TCP	Kubernetes API Endpoint Port ⁽²⁾		git.rancher.io
8443 TCP
9443 TCP
Hosted / Imported Cluster	443 TCP ⁽⁴⁾⁽⁵⁾		443 TCP ⁽⁵⁾
Kubernetes API Clients		Cluster / Provider Specific ⁽⁶⁾
Workload Client		Cluster / Provider Specific ⁽⁷⁾
Notes: 1. Nodes running standalone server or Rancher HA deployment. 2. Only for hosted clusters. 3. Required to fetch Rancher chart library. 4. Only without external load balancer. 5. From worker nodes. 6. For direct access to the Kubernetes API without Rancher. 7. Usually Ingress backed by infrastructure load balancer and/or nodeport.

From / To

Rancher Nodes

Hosted / Imported Cluster

External Rancher Load Balancer

Internet

Rancher Nodes ⁽¹⁾

80 TCP

Kubernetes API
Endpoint Port ⁽²⁾

git.rancher.io

8443 TCP

9443 TCP

Hosted / Imported Cluster

443 TCP ⁽⁴⁾⁽⁵⁾

443 TCP ⁽⁵⁾

Kubernetes API Clients

Cluster / Provider Specific ⁽⁶⁾

Workload Client

Cluster / Provider Specific ⁽⁷⁾

その他のポートに関する考慮事項

一般的に使用されるポート

これらのポートは、クラスターの種類に関係なく、通常Kubernetesノードで開放されます。

Protocol	Port	Description
TCP	22	Node driver SSH provisioning
TCP	179	Calico BGP Port
TCP	2376	Node driver Docker daemon TLS port
TCP	2379	etcd client requests
TCP	2380	etcd peer communication
UDP	8472	Canal/Flannel VXLAN overlay networking
UDP	4789	Flannel VXLAN overlay networking on Windows cluster
TCP	8443	Rancher webhook
TCP	9099	Canal/Flannel livenessProbe/readinessProbe
TCP	9443	Rancher webhook
TCP	9796	Default port required by Monitoring to scrape metrics from Linux and Windows node-exporters
TCP	6783	Weave Port
UDP	6783-6784	Weave UDP Ports
TCP	10250	Metrics server communication with all nodes API
TCP	10254	Ingress controller livenessProbe/readinessProbe
TCP/UDP	30000-32767	NodePort port range

Protocol

Port

Description

TCP

Node driver SSH provisioning

TCP

179

Calico BGP Port

TCP

2376

Node driver Docker daemon TLS port

TCP

2379

etcd client requests

TCP

2380

etcd peer communication

UDP

8472

Canal/Flannel VXLAN overlay networking

UDP

4789

Flannel VXLAN overlay networking on Windows cluster

TCP

8443

Rancher webhook

TCP

9099

Canal/Flannel livenessProbe/readinessProbe

TCP

9443

Rancher webhook

TCP

9796

Default port required by Monitoring to scrape metrics from Linux and Windows node-exporters

TCP

6783

Weave Port

UDP

6783-6784

Weave UDP Ports

TCP

10250

Metrics server communication with all nodes API

TCP

10254

Ingress controller livenessProbe/readinessProbe

TCP/UDP

30000-32767

NodePort port range

ローカルノードトラフィック

上記の要件で`local traffic`（すなわち、9099 TCP）としてマークされたポートは、Kubernetesのヘルスチェック（`livenessProbe`およびreadinessProbe）に使用されます。これらのヘルスチェックは、ノード自体で実行されます。ほとんどのクラウド環境では、このローカルトラフィックはデフォルトで許可されています。

ただし、このトラフィックは次の場合にブロックされることがあります：

ノードに厳格なホストファイアウォールポリシーを適用した場合。
複数のインターフェースを持つノード（マルチホーミング）を使用している場合。

これらの場合、ホストファイアウォールでこのトラフィックを明示的に許可する必要があります。また、パブリック/プライベートクラウドホストのマシン（例：AWSやOpenStack）の場合は、セキュリティグループの設定で許可する必要があります。セキュリティグループ内でソースまたはデスティネーションとしてセキュリティグループを使用する場合、ポートを明示的に開くことはノード/インスタンスのプライベートインターフェースにのみ適用されることに注意してください。

Rancher AWS EC2 Security Group

RancherでクラスターのノードをプロビジョニングするためにAWS EC2ノードドライバーを使用する場合、Rancherに`rancher-nodes`というセキュリティグループを作成させることができます。次のルールがこのセキュリティグループに自動的に追加されます。

タイプ	プロトコル	ポート範囲	ソース/デスティネーション	ルールタイプ
SSH	TCP	22	0.0.0.0/0 および::/0	インバウンド
HTTP	TCP	80	0.0.0.0/0 および::/0	インバウンド
カスタムTCPルール	TCP	443	0.0.0.0/0 および::/0	インバウンド
カスタムTCPルール	TCP	2376	0.0.0.0/0 および::/0	インバウンド
カスタムTCPルール	TCP	6443	0.0.0.0/0 および::/0	インバウンド
カスタムTCPルール	TCP	179	sg-xxx (rancher-nodes)	インバウンド
カスタムTCPルール	TCP	9345	sg-xxx (rancher-nodes)	インバウンド
カスタムTCPルール	TCP	2379-2380	sg-xxx (rancher-nodes)	インバウンド
カスタムTCPルール	TCP	10250-10252	sg-xxx (rancher-nodes)	インバウンド
カスタムTCPルール	TCP	10256	sg-xxx (rancher-nodes)	インバウンド
カスタムUDPルール	UDP	4789	sg-xxx (rancher-nodes)	インバウンド
カスタムUDPルール	UDP	8472	sg-xxx (rancher-nodes)	インバウンド
カスタムTCPルール	TCP	30000-32767	0.0.0.0/0 および::/0	インバウンド
カスタムUDPルール	UDP	30000-32767	0.0.0.0/0 および::/0	インバウンド
すべてのトラフィック	すべて(All)	すべて(All)	0.0.0.0/0 および::/0	アウトバウンド

タイプ

プロトコル

ポート範囲

ソース/デスティネーション

ルールタイプ

SSH

TCP

0.0.0.0/0 および::/0

インバウンド

HTTP

TCP

0.0.0.0/0 および::/0

インバウンド

カスタムTCPルール

TCP

443

0.0.0.0/0 および::/0

インバウンド

カスタムTCPルール

TCP

2376

0.0.0.0/0 および::/0

インバウンド

カスタムTCPルール

TCP

6443

0.0.0.0/0 および::/0

インバウンド

カスタムTCPルール

TCP

179

sg-xxx (rancher-nodes)

インバウンド

カスタムTCPルール

TCP

9345

sg-xxx (rancher-nodes)

インバウンド

カスタムTCPルール

TCP

2379-2380

sg-xxx (rancher-nodes)

インバウンド

カスタムTCPルール

TCP

10250-10252

sg-xxx (rancher-nodes)

インバウンド

カスタムTCPルール

TCP

10256

sg-xxx (rancher-nodes)

インバウンド

カスタムUDPルール

UDP

4789

sg-xxx (rancher-nodes)

インバウンド

カスタムUDPルール

UDP

8472

sg-xxx (rancher-nodes)

インバウンド

カスタムTCPルール

TCP

30000-32767

0.0.0.0/0 および::/0

インバウンド

カスタムUDPルール

UDP

30000-32767

0.0.0.0/0 および::/0

インバウンド

すべてのトラフィック

すべて(All)

0.0.0.0/0 および::/0

アウトバウンド

SUSE Linuxポートを開く

SUSE Linuxには、デフォルトで全ポートをブロックするファイアウォールがある場合があります。ホストをカスタムクラスターに追加するために必要なポートを開くには、

SLES 15 / openSUSE Leap 15
SLES 12 / openSUSE Leap 42

インスタンスにSSHで接続します。
テキストモードでYaSTを起動します：
```
 sudo yast2
```
セキュリティとユーザー > ファイアウォール > ゾーン：パブリック > *ポート*に移動します。インターフェース内を移動するには、これらの指示に従ってください。
必要なポートを開くには、それらを*TCPポート*および*UDPポート*フィールドに入力します。この例では、ポート9796と10250も監視用に開かれています。結果のフィールドは次のようになります：
```
 TCP Ports
 22, 80, 443, 2376, 2379, 2380, 6443, 9099, 9796, 10250, 10254, 30000-32767
 UDP Ports
 8472, 30000-32767
```
すべての必要なポートを入力したら、*受け入れる*を選択します。

インスタンスにSSHで接続します。
/`etc/sysconfig/SuSEfirewall2`を編集し、必要なポートを開きます。この例では、ポート9796と10250も監視用に開かれています：
```
 FW_SERVICES_EXT_TCP="22 80 443 2376 2379 2380 6443 9099 9796 10250 10254 30000:32767"
 FW_SERVICES_EXT_UDP="8472 30000:32767"
 FW_ROUTE=yes
```
新しいポートでファイアウォールを再起動します：
```
 SuSEfirewall2
```

*結果:*ノードには、カスタムクラスターに追加するために必要な開いているポートが備わっています。