Red Hat Training
A Red Hat training course is available for OpenShift Container Platform
2.2.2.4. 필수 포트
OpenShift Container Platform 설치는 iptables 를 사용하여 각 호스트에 자동으로 내부 방화벽 규칙 세트를 생성합니다. 그러나 네트워크 구성이 하드웨어 기반 방화벽과 같은 외부 방화벽을 사용하는 경우 특정 프로세스 또는 서비스의 통신 엔드포인트 역할을 하는 특정 포트를 통해 인프라 구성 요소가 서로 통신할 수 있는지 확인해야 합니다.
OpenShift Container Platform에 필요한 다음 포트가 네트워크에서 열려 있고 호스트 간 액세스를 허용하도록 구성되었는지 확인합니다. 일부 포트는 구성 및 사용량에 따라 선택 사항입니다.
표 2.2. Node to Node
| 4789 | UDP | 별도의 호스트의 Pod 간 SDN 통신에 필요합니다. |
표 2.3. 마스터로 노드
| 4789 | UDP | 별도의 호스트의 Pod 간 SDN 통신에 필요합니다. |
| 443 또는 8443 | TCP | 노드 호스트가 마스터 API와 통신하는 데 필요합니다. 노드 호스트는 백엔드 상태, 작업을 수신하는 등의 작업에 필요합니다. |
표 2.4. 노드 마스터
| 4789 | UDP | 별도의 호스트의 Pod 간 SDN 통신에 필요합니다. |
| 10250 | TCP |
|
| 10010 | TCP |
CRI-O를 사용하는 경우 이 포트를 열어 |
표 2.5. 마스터 마스터
| 2049 | TCP/UDP | 설치 프로그램의 일부로 NFS 호스트를 프로비저닝할 때 필요합니다. |
| 2379 | TCP | 독립 실행형 etcd(클러스터)에 사용하여 변경 사항을 승인하는 데 사용됩니다. |
| 2380 | TCP | etcd는 독립형 etcd(Cluster)를 사용할 때 리더 선택 및 피어링 연결을 위해 마스터 간에 이 포트를 열어야 합니다. |
| 4789 | UDP | 별도의 호스트의 Pod 간 SDN 통신에 필요합니다. |
표 2.6. 로드 밸런서 외부
| 9000 | TCP |
|
표 2.7. 마스터 외부
| 443 또는 8443 | TCP | 노드 호스트가 마스터 API와 통신하는 데 필요합니다. 노드 호스트는 상태를 게시하고 작업을 수신하는 등의 작업을 수행합니다. |
| 8444 | TCP |
컨트롤러 관리자 및 스케줄러 서비스가 수신 대기하는 포트입니다. |
표 2.8. IaaS 배포
| 22 | TCP | 설치 프로그램 또는 시스템 관리자가 SSH에 필요합니다. |
| 53 또는 8053 | TCP/UDP | 클러스터 서비스(SkyDNS)의 DNS 확인에 필요합니다. 3.2 이전의 설치 또는 환경이 3.2로 업그레이드된 경우 포트 53을 사용합니다. 새로운 설치는 기본적으로 8053을 사용하므로 dnsmasq 를 구성할 수 있습니다. 마스터 호스트에서 내부적으로 열려 있어야 합니다. |
| 80 또는 443 | TCP | 라우터에 HTTP/HTTPS를 사용합니다. 특히 라우터를 실행하는 노드에서 외부로 열어야 합니다. |
| 1936 | TCP | (선택 사항) 템플릿 라우터를 실행하여 통계에 액세스할 때 열어야 합니다. 통계를 공개적으로 표현할 수 있는지 여부에 따라 외부적으로 또는 내부적으로 연결에 대해 열 수 있습니다. 열기 위해 추가 구성이 필요할 수 있습니다. 자세한 내용은 아래 참고 섹션을 참조하십시오. |
| 2379 및 2380 | TCP | 독립형 etcd의 경우 다음을 사용합니다. 마스터 호스트에서 내부적으로 열려 있어야 합니다. 2379 는 서버-클라이언트 연결용입니다. 2380 은 서버-서버 연결용이며 etcd를 클러스터링한 경우에만 필요합니다. |
| 4789 | UDP | VxLAN 사용(OpenShift SDN). 노드 호스트에서 내부적으로만 필요합니다. |
| 8443 | TCP | OpenShift Container Platform 웹 콘솔에서 사용하기 위해 API 서버와 공유됩니다. |
| 10250 | TCP | Kubelet에서 사용합니다. 노드에서 외부로 열어야 합니다. |
참고
- 위의 예에서 포트 4789 는 UDP(User Datagram Protocol)에 사용됩니다.
- 배포가 SDN을 사용하는 경우 레지스트리가 배포된 동일한 노드에서 레지스트리에 액세스하지 않는 한 서비스 프록시를 통해 Pod 네트워크에 액세스합니다.
- OpenShift Container Platform 내부 DNS는 SDN을 통해 수신할 수 없습니다. 클라우드 배포가 아닌 경우 기본적으로 마스터 호스트의 기본 경로와 연결된 IP 주소로 설정됩니다. 클라우드 배포의 경우 클라우드 메타데이터에 정의된 첫 번째 내부 인터페이스와 연결된 IP 주소로 기본 설정됩니다.
-
마스터 호스트는 포트 10250 을 사용하여 노드에 도달하고 SDN을 초과하지 않습니다. 배포의 대상 호스트에 따라 달라지며 계산된
openshift_public_hostname을 사용합니다. 포트 1936 은 iptables 규칙으로 인해 계속 액세스할 수 없습니다. 다음을 사용하여 1936 포트를 열도록 iptables를 구성합니다.
# iptables -A OS_FIREWALL_ALLOW -p tcp -m state --state NEW -m tcp \ --dport 1936 -j ACCEPT
표 2.9. 집계된 로깅 및 메트릭
| 9200 | TCP |
Elasticsearch API 사용의 경우 Kibana가 디스플레이 로그를 검색할 수 있도록 모든 인프라 노드에서 내부적으로 열어야 합니다. 경로를 통해 Elasticsearch에 직접 액세스하기 위해 외부에서 열 수 있습니다. 경로는 |
| 9300 | TCP | Elasticsearch 간 사용의 경우. Elasticsearch 클러스터의 멤버가 서로 통신할 수 있도록 모든 인프라 노드에서 내부적으로 열어야 합니다. |
| 9090 | TCP | Prometheus API 및 웹 콘솔의 경우 를 사용합니다. |
| 9100 | TCP | 하드웨어 및 운영 체제 지표를 내보내는 Prometheus Node-Exporter의 경우 Prometheus 서버가 메트릭을 스크랩하려면 각 OpenShift Container Platform 호스트에서 포트 9100을 열어야 합니다. |
| 8443 | TCP | 노드 호스트가 마스터 API에 통신할 경우 노드 호스트에서 백 상태를 게시하고 작업을 수신하는 등의 작업을 수행합니다. 마스터 및 인프라 노드에서 모든 마스터 및 노드로 이 포트를 허용해야 합니다. |
| 10250 | TCP | Kubernetes cAdvisor의 경우 컨테이너 리소스 사용 및 성능 분석 에이전트입니다. 마스터 및 인프라 노드에서 모든 마스터 및 노드로 이 포트를 허용해야 합니다. 메트릭의 경우 소스가 인프라 노드여야 합니다. |
| 8444 | TCP | 컨트롤러 관리자 및 스케줄러 서비스가 수신 대기하는 포트입니다. 포트 8444는 각 OpenShift Container Platform 호스트에서 열려 있어야 합니다. |
| 1936 | TCP | (선택 사항) 템플릿 라우터를 실행하여 통계에 액세스할 때 열어야 합니다. 라우터에서 Prometheus 지표가 활성화된 경우 인프라 노드에서 라우터를 호스팅하는 인프라 노드로 이 포트를 허용해야 합니다. 통계를 공개적으로 표현할 수 있는지 여부에 따라 외부적으로 또는 내부적으로 연결에 대해 열 수 있습니다. 열기 위해 추가 구성이 필요할 수 있습니다. 자세한 내용은 위의 참고 섹션을 참조하십시오. |
참고
