Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Requisitos de Porta

Para funcionar corretamente, o Rancher requer que várias portas estejam abertas nos nós do Rancher e nos nós do cluster Kubernetes downstream.

Nós do Rancher

A tabela a seguir lista as portas que precisam estar abertas para os nós que estão executando o servidor Rancher.

Os requisitos de porta diferem com base na arquitetura do servidor Rancher.

O Rancher pode ser instalado em qualquer cluster Kubernetes. Para instalações do Rancher em um cluster Kubernetes K3s, RKE ou RKE2, consulte as abas abaixo. Para outras distribuições Kubernetes, consulte a documentação da distribuição para os requisitos de porta para os nós do cluster.

Notas:

  • Os nós do Rancher também podem exigir acesso adicional de saída para qualquer provedor de autenticação externo que esteja configurado (LDAP, por exemplo).

  • O Kubernetes recomenda TCP 30000-32767 para serviços de porta de nó.

  • Para firewalls, o tráfego pode precisar ser habilitado dentro do cluster e do CIDR do pod.

  • Os nós do Rancher também podem precisar de acesso de saída a um local S3 externo que é usado para armazenar backups do cluster (Minio, por exemplo).

Portas para Nós do Servidor Rancher em SUSE® Rancher Prime: K3s

Clique para expandir

O servidor K3s precisa que a porta 6443 esteja acessível pelos nós.

Os nós precisam ser capazes de alcançar outros nós pela porta UDP 8472 quando o Flannel VXLAN é usado. O nó não deve escutar em nenhuma outra porta. K3s utiliza tunelamento reverso de forma que os nós fazem conexões de saída para o servidor e todo o tráfego do kubelet passa por esse túnel. No entanto, se você não usar o Flannel e fornecer seu próprio CNI personalizado, então a porta 8472 não é necessária pelo K3s.

Se você deseja utilizar o servidor de métricas, precisará abrir a porta 10250 em cada nó.

Importante:

A porta VXLAN nos nós não deve ser exposta ao mundo, pois isso abre sua rede de cluster para ser acessada por qualquer um. Execute seus nós atrás de um firewall/grupo de segurança que desative o acesso à porta 8472.

As tabelas a seguir detalham os requisitos de porta para tráfego de entrada e saída:

Table 1. Regras de Entrada para Nós do Servidor Rancher
Protocolo Portar Origem Descrição

TCP

80

Balanceador de carga/proxy que faz a terminação SSL externa

Interface/API do Rancher quando a terminação SSL externa é utilizada

TCP

443

<ul><li>nós do servidor</li><li>nós agentes</li><li>Kubernetes hospedado/registrado</li><li>qualquer fonte que precise usar a interface ou API do Rancher</li></ul>

Agente do Rancher, interface/API do Rancher, kubectl

TCP

6443

Nós do servidor K3s

API Kubernetes

UDP

8472

Nós do servidor e agente K3s

Necessário apenas para Flannel VXLAN.

TCP

10250

Nós do servidor e agente K3s

kubelet
Table 2. Regras de saída para nós do Rancher
Protocolo Portar Destino Descrição

TCP

22

Qualquer IP de nó de um nó criado usando o Driver de Nó

Provisionamento SSH de nós usando o Driver de Nó

TCP

443

git.rancher.io

Catálogo do Rancher

TCP

2376

Qualquer IP de nó de um nó criado usando o Driver de Nó

Porta TLS do daemon Docker usada pelo Docker Machine

TCP

6443

API do Kubernetes hospedada/importada

Servidor de API do Kubernetes

Portas para Nós do Servidor Rancher em SUSE® Rancher Prime: RKE2

Clique para expandir

O servidor RKE2 precisa que a porta 6443 e 9345 sejam acessíveis por outros nós no cluster.

Todos os nós precisam ser capazes de alcançar outros nós pela porta UDP 8472 quando o Flannel VXLAN é usado.

Se você deseja utilizar o servidor de métricas, precisará abrir a porta 10250 em cada nó.

Importante:

A porta VXLAN nos nós não deve ser exposta ao mundo, pois isso abre sua rede de cluster para ser acessada por qualquer um. Execute seus nós atrás de um firewall/grupo de segurança que desative o acesso à porta 8472.
Table 3. Regras de entrada para nós do servidor RKE2
Protocolo Portar Origem Descrição

TCP

9345

Nós do servidor e agente RKE2

Registro de nó. A porta deve estar aberta em todos os nós do servidor para todos os outros nós no cluster.

TCP

6443

Nós de agente RKE2

API Kubernetes

UDP

8472

Nós do servidor e agente RKE2

Necessário apenas para Flannel VXLAN

TCP

10250

Nós do servidor e agente RKE2

kubelet

TCP

2379

Nós do servidor RKE2

Porta do cliente etcd

TCP

2380

Nós do servidor RKE2

Porta do par etcd

TCP

30000-32767

Nós do servidor e agente RKE2

Intervalo de portas NodePort. Pode usar TCP ou UDP.

TCP

5473

Pod calico-node conectando ao pod typha

Necessário ao implantar com Calico

HTTP

80

Balanceador de carga/proxy que faz a terminação SSL externa

Interface/API do Rancher quando a terminação SSL externa é utilizada

HTTPS

443

<ul><li>Kubernetes hospedado/registrado</li><li>qualquer fonte que precise ser capaz de usar a interface do usuário ou API do Rancher</li></ul>

Agente do Rancher, interface/API do Rancher, kubectl. Não é necessário se você tiver um balanceador de carga fazendo a terminação TLS.

Normalmente, todo o tráfego de saída é permitido.

Portas para o Servidor Rancher no Docker

Clique para expandir

As tabelas a seguir detalham os requisitos de porta para os nós do Rancher, para tráfego de entrada e saída:

Table 4. Regras de Entrada para o Nó do Rancher
Protocolo Portar Origem Descrição

TCP

80

Balanceador de carga/proxy que faz a terminação SSL externa

Interface/API do Rancher quando a terminação SSL externa é utilizada

TCP

443

<ul><li>Kubernetes hospedado/registrado</li><li>qualquer fonte que precise ser capaz de usar a interface do usuário ou API do Rancher</li></ul>

Agente do Rancher, interface/API do Rancher, kubectl
Table 5. Regras de Saída para o Nó do Rancher
Protocolo Portar Origem Descrição

TCP

22

Qualquer IP de nó de um nó criado usando o Driver de Nó

Provisionamento SSH de nós usando o Driver de Nó

TCP

443

git.rancher.io

Catálogo do Rancher

TCP

2376

Qualquer IP de nó de um nó criado usando o Driver de Nó

Porta TLS do daemon Docker usada pelo Docker Machine

TCP

6443

API do Kubernetes hospedada/importada

Servidor de API do Kubernetes

Nós do Cluster Kubernetes downstream

Os clusters Kubernetes downstream executam seus aplicativos e serviços. Esta seção descreve quais portas precisam ser abertas nos nós dos clusters downstream para que o Rancher possa se comunicar com eles.

Os requisitos de porta diferem dependendo de como o cluster downstream foi iniciado. Cada uma das abas abaixo lista as portas que precisam ser abertas para diferentes tipos de cluster.

O diagrama a seguir ilustra as portas que estão abertas para cada tipo de cluster.

Requisitos Básicos de Porta
Figure 1. Requisitos de Porta para o Plano de Gerenciamento do Rancher

Se a segurança não for uma grande preocupação e você estiver disposto a abrir algumas portas adicionais, pode usar a tabela em Portas Comumente Usadas como referência de porta em vez das tabelas abrangentes abaixo.

Portas para Clusters de SUSE Virtualization

Consulte o SUSE Virtualization Visão Geral da Integração para mais informações sobre os requisitos de porta do Harvester.

Portas para Clusters Kubernetes Lançados pelo Rancher usando Pools de Nós

Clique para expandir

A tabela a seguir ilustra os requisitos de porta para Kubernetes Lançado pelo Rancher com nós criados em um Provedor de Infraestrutura.

As portas necessárias são abertas automaticamente pelo Rancher durante a criação de clusters em provedores de nuvem como Amazon EC2 ou DigitalOcean.
From / To Rancher Nodes etcd Plane Nodes Control Plane Nodes Worker Plane Nodes External Rancher Load Balancer Internet

Rancher Nodes (1)

22 TCP

git.rancher.io

2376 TCP

etcd Plane Nodes

443 TCP (3)

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

9099 TCP (4)

Control Plane Nodes

443 TCP (3)

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

10250 TCP

9099 TCP (4)

10254 TCP (4)

Worker Plane Nodes

443 TCP (3)

6443 TCP

443 TCP

8472 UDP

9099 TCP (4)

10254 TCP (4)

Kubernetes API Clients

6443 TCP (5)

Workload Clients or Load Balancer

30000-32767 TCP / UDP
(nodeport)

80 TCP (Ingress)

443 TCP (Ingress)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Required to fetch Rancher chart library.
3. Only without external load balancer in front of Rancher.
4. Local traffic to the node itself (not across nodes).
5. Only if Authorized Cluster Endpoints are activated.

Portas para Clusters Kubernetes Lançados pelo Rancher usando Nós Personalizados

Clique para expandir

A tabela a seguir ilustra os requisitos de porta para Kubernetes Lançado pelo Rancher com Nós Personalizados.

From / To Rancher Nodes etcd Plane Nodes Control Plane Nodes Worker Plane Nodes External Rancher Load Balancer Internet

Rancher Nodes (1)

git.rancher.io

etcd Plane Nodes

443 TCP (3)

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

4789 UDP (6)

9099 TCP (4)

Control Plane Nodes

443 TCP (3)

2379 TCP

443 TCP

2380 TCP

6443 TCP

8472 UDP

4789 UDP (6)

10250 TCP

9099 TCP (4)

10254 TCP (4)

Worker Plane Nodes

443 TCP (3)

6443 TCP

443 TCP

8472 UDP

4789 UDP (6)

9099 TCP (4)

10254 TCP (4)

Kubernetes API Clients

6443 TCP (5)

Workload Clients or Load Balancer

30000-32767 TCP / UDP
(nodeport)

80 TCP (Ingress)

443 TCP (Ingress)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Required to fetch Rancher chart library.
3. Only without external load balancer in front of Rancher.
4. Local traffic to the node itself (not across nodes), if you’ve enabled optional features such as Rancher Monitoring.
5. Only if Authorized Cluster Endpoints are activated.
6. Only if using Overlay mode on Windows cluster.

Portas para Clusters Kubernetes Hospedados

Clique para expandir

A tabela a seguir ilustra os requisitos de porta para clusters hospedados.

From / To Rancher Nodes Hosted / Imported Cluster External Rancher Load Balancer Internet

Rancher Nodes (1)

80 TCP

Kubernetes API
Endpoint Port (2)

git.rancher.io

8443 TCP

9443 TCP

Hosted / Imported Cluster

443 TCP (4)(5)

443 TCP (5)

Kubernetes API Clients

Cluster / Provider Specific (6)

Workload Client

Cluster / Provider Specific (7)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Only for hosted clusters.
3. Required to fetch Rancher chart library.
4. Only without external load balancer.
5. From worker nodes.
6. For direct access to the Kubernetes API without Rancher.
7. Usually Ingress backed by infrastructure load balancer and/or nodeport.

Portas para Clusters Registrados

Clusters registrados eram chamados de clusters importados antes do Rancher v2.5.
Clique para expandir

A tabela a seguir ilustra os requisitos de porta para clusters registrados.

From / To Rancher Nodes Hosted / Imported Cluster External Rancher Load Balancer Internet

Rancher Nodes (1)

80 TCP

Kubernetes API
Endpoint Port (2)

git.rancher.io

8443 TCP

9443 TCP

Hosted / Imported Cluster

443 TCP (4)(5)

443 TCP (5)

Kubernetes API Clients

Cluster / Provider Specific (6)

Workload Client

Cluster / Provider Specific (7)

Notes:

1. Nodes running standalone server or Rancher HA deployment.
2. Only for hosted clusters.
3. Required to fetch Rancher chart library.
4. Only without external load balancer.
5. From worker nodes.
6. For direct access to the Kubernetes API without Rancher.
7. Usually Ingress backed by infrastructure load balancer and/or nodeport.

Outras Considerações sobre Portas

Portas Comumente Usadas

Essas portas geralmente são abertas em seus nós Kubernetes, independentemente do tipo de cluster que é.

Protocol Port Description

TCP

22

Node driver SSH provisioning

TCP

179

Calico BGP Port

TCP

2376

Node driver Docker daemon TLS port

TCP

2379

etcd client requests

TCP

2380

etcd peer communication

UDP

8472

Canal/Flannel VXLAN overlay networking

UDP

4789

Flannel VXLAN overlay networking on Windows cluster

TCP

8443

Rancher webhook

TCP

9099

Canal/Flannel livenessProbe/readinessProbe

TCP

9443

Rancher webhook

TCP

9796

Default port required by Monitoring to scrape metrics from Linux and Windows node-exporters

TCP

6783

Weave Port

UDP

6783-6784

Weave UDP Ports

TCP

10250

Metrics server communication with all nodes API

TCP

10254

Ingress controller livenessProbe/readinessProbe

TCP/UDP

30000-32767

NodePort port range

Tráfego Local de Nós

As portas marcadas como local traffic (ou seja, 9099 TCP) nos requisitos acima são usadas para verificações de saúde do Kubernetes (livenessProbe ereadinessProbe). Esses healthchecks são executados no próprio nó. Na maioria dos ambientes de nuvem, esse tráfego local é permitido por padrão.

No entanto, esse tráfego pode ser bloqueado quando:

  • Você aplicou políticas de firewall de host rigorosas no nó.

  • Você está usando nós que têm várias interfaces (multihomed).

Nesses casos, você deve permitir explicitamente esse tráfego no seu firewall de host ou, no caso de máquinas hospedadas em nuvem pública/privada (ou seja, AWS ou OpenStack), na configuração do seu grupo de segurança. Tenha em mente que, ao usar um grupo de segurança como origem ou destino no seu grupo de segurança, abrir portas explicitamente se aplica apenas à interface privada dos nós / instâncias.

Grupo de Segurança AWS EC2 do Rancher

Ao usar o driver de nó AWS EC2 para provisionar nós de cluster no Rancher, você pode optar por deixar o Rancher criar um grupo de segurança chamado rancher-nodes. As seguintes regras são adicionadas automaticamente a este grupo de segurança.

Tipo Protocolo Intervalo de Portas Origem/Destino Tipo de Regra

SSH

TCP

22

0.0.0.0/0 e ::/0

Interno

HTTP

TCP

80

0.0.0.0/0 e ::/0

Interno

Regra TCP Personalizada

TCP

443

0.0.0.0/0 e ::/0

Interno

Regra TCP Personalizada

TCP

2376

0.0.0.0/0 e ::/0

Interno

Regra TCP Personalizada

TCP

6443

0.0.0.0/0 e ::/0

Interno

Regra TCP Personalizada

TCP

179

sg-xxx (nós do Rancher)

Interno

Regra TCP Personalizada

TCP

9345

sg-xxx (nós do Rancher)

Interno

Regra TCP Personalizada

TCP

2379-2380

sg-xxx (nós do Rancher)

Interno

Regra TCP Personalizada

TCP

10250-10252

sg-xxx (nós do Rancher)

Interno

Regra TCP Personalizada

TCP

10256

sg-xxx (nós do Rancher)

Interno

Regra UDP Personalizada

UDP

4789

sg-xxx (nós do Rancher)

Interno

Regra UDP Personalizada

UDP

8472

sg-xxx (nós do Rancher)

Interno

Regra TCP Personalizada

TCP

30000-32767

0.0.0.0/0 e ::/0

Interno

Regra UDP Personalizada

UDP

30000-32767

0.0.0.0/0 e ::/0

Interno

Todo tráfego

Todos

Todos

0.0.0.0/0 e ::/0

Externo

Abrindo Portas do SUSE Linux

O SUSE Linux pode ter um firewall que bloqueia todas as portas por padrão. Para abrir as portas necessárias para adicionar o host a um cluster personalizado,

  • SLES 15 / openSUSE Leap 15

  • SLES 12 / openSUSE Leap 42

  1. Acesse a instância via SSH.

  2. Inicie o YaST em modo texto:

     sudo yast2

  3. Navegue até Segurança e Usuários > Firewall > Zonas:pública > Portas. Para navegar pela interface, siga estas instruções.

  4. Para abrir as portas necessárias, insira-as nos campos Portas TCP e Portas UDP. Neste exemplo, as portas 9796 e 10250 também estão abertas para monitoramento. Os campos resultantes devem ser semelhantes ao seguinte:

     TCP Ports
 22, 80, 443, 2376, 2379, 2380, 6443, 9099, 9796, 10250, 10254, 30000-32767
 UDP Ports
 8472, 30000-32767

  5. Quando todas as portas necessárias forem inseridas, selecione Aceitar.

  1. Acesse a instância via SSH.

  2. Edite /etc/sysconfig/SuSEfirewall2 e abra as portas necessárias. Neste exemplo, as portas 9796 e 10250 também estão abertas para monitoramento:

     FW_SERVICES_EXT_TCP="22 80 443 2376 2379 2380 6443 9099 9796 10250 10254 30000:32767"
 FW_SERVICES_EXT_UDP="8472 30000:32767"
 FW_ROUTE=yes

  3. Reinicie o gateway de segurança com as novas portas:

     SuSEfirewall2

Resultado: O nó possui as portas abertas necessárias para ser adicionado a um cluster personalizado.