Cluster ACGの設定

Prev Next

VPC環境で利用できます。

Ncloud Kubernetes Serviceを通じて作成されたクラスタは nks-*-*と命名したクラスタ ACG(Access Control Group)を使用します。
nks-*-* ACGはクラスタ構成ノードが使用するネットワークインタフェースに適用され、クラスタネットワーキングのためのルールが構成されています。

基本 ACGルール

クラスタ作成時に ACGのインバウンドとアウトバウンドルールは、基本的に以下のように構成されています。

  • Inbound
プロトコル アクセスソース 許可ポート メモ
ICMP nks-- automatically created, don't delete it
TCP nks-- 1-65535 automatically created, don't delete it
UDP nks-- 1-65535 automatically created, don't delete it
  • Outbound
プロトコル 宛先 許可ポート メモ
ICMP 0.0.0.0/0 automatically created, don't delete it
TCP 0.0.0.0/0 1-65535 automatically created, don't delete it
UDP 0.0.0.0/0 1-65535 automatically created, don't delete it

必須 ACGルール

参考
  • CNI Pluginで Ciliumを選択した場合該当します。

ユーザーは構成ノード間のポート制限が必要な場合、クラスタ ACGを修正して使用できます。
Kubernetesは様々なコンポーネントが相互作用し動作するため、クラスタネットワーキングのために以下の最低限のルールを許可します。

注意
  • 必須 ACGルール以外にクラスタで使用中のポートに対して確認します。
  • クラスタ ACG修正により発生するエラーに対しては SLAが適用されず、テクニカルサポートを提供しません。
  • Inbound
プロトコル アクセスソース 許可ポート メモ
ICMP nks-*-* host ping failure check
TCP nks-*-* 2379-2380 etcd
TCP nks-*-* 4240 cilium health check
TCP nks-*-* 4443 metrics server
TCP nks-*-* 6443 kube control
TCP nks-*-* 10250 kubelet
TCP nks-*-* 30000-32768 range for health checks on node ports
UDP nks-*-* 8472 vxlan overlay
  • Outbound
プロトコル 宛先 許可ポート メモ
ICMP nks-*-* host ping failure check
TCP nks-*-* 2379-2380 etcd
TCP nks-*-* 4240 cilium health check
TCP nks-*-* 4443 metrics server
TCP nks-*-* 6443 kube control
TCP nks-*-* 10250 kubelet
TCP nks-*-* 30000-32768 range for health checks on node ports
UDP nks-*-* 8472 vxlan overlay

自動で構成される ACGルール

Ncloud Kubernetes Serviceは以下の状況で自動で ACGルールを追加します。

  • Network Load Balancer(NLB)作成時に Inboundルールとして TCPプロトコルを使用し、0.0.0.0/0をアクセスソースとするサービスのノードポートを許可します。
    • アノテーションを通じて ACGアップデートの有無と Inboundアクセスソースを設定できます。
  • Network Proxy Load Balancer(NPLB)作成時に Inboundルールとして TCPプロトコルを使用し、ロードバランササブネット帯域をアクセスソースとする1-65535ポートを許可します。
  • Application Load Balancer(ALB)作成時に Inboundルールとして TCPプロトコルを使用し、ロードバランササブネット帯域をアクセスソースとする1-65535ポートを許可します。