Cluster ACG 설정
- 인쇄
- PDF
Cluster ACG 설정
- 인쇄
- PDF
Article Summary
Share feedback
Thanks for sharing your feedback!
VPC 환경에서 이용 가능합니다.
Ncloud Kubernetes Service를 통해 생성된 클러스터는 nks-*-* 으로 명명된 클러스터 ACG (Access Control Group)를 사용합니다.
nks-*-* ACG는 클러스터 구성 노드가 사용하는 네트워크 인터페이스에 적용되어 있으며, 클러스터 네트워킹을 위한 규칙이 구성되어 있습니다.
기본 ACG 규칙
클러스터 생성 시 ACG의 인바운드 및 아웃바운드 규칙은 기본적으로 아래와 같이 구성되어 있습니다.
- Inbound
| 프로토콜 | 접근 소스 | 허용 포트 | 메모 |
|---|---|---|---|
| ICMP | nks-*-* | automatically created, don't delete it | |
| TCP | nks-*-* | 1-65535 | automatically created, don't delete it |
| UDP | nks-*-* | 1-65535 | automatically created, don't delete it |
- Outbound
| 프로토콜 | 목적지 | 허용 포트 | 메모 |
|---|---|---|---|
| ICMP | 0.0.0.0/0 | automatically created, don't delete it | |
| TCP | 0.0.0.0/0 | 1-65535 | automatically created, don't delete it |
| UDP | 0.0.0.0/0 | 1-65535 | automatically created, don't delete it |
필수 ACG 규칙
참고
- CNI Plugin으로 Cilium을 선택한 경우 해당됩니다.
사용자는 구성 노드 간 포트 제한이 필요한 경우 클러스터 ACG를 수정하여 사용할 수 있습니다.
Kubernetes는 다양한 컴포넌트들이 상호작용하며 동작하므로 클러스터 네트워킹을 위해 최소한 아래 규칙이 허용되어 있어야 합니다.
주의
- 필수 ACG 규칙 이외에 클러스터에서 사용 중인 포트에 대한 확인이 필요합니다.
- 클러스터 ACG 수정으로 인해 발생하는 오류에 대해서는 SLA가 적용되지 않으며 기술지원을 제공하지 않습니다.
- Inbound
| 프로토콜 | 접근 소스 | 허용 포트 | 메모 |
|---|---|---|---|
| ICMP | nks-*-* | host ping failure check | |
| TCP | nks-*-* | 2379-2380 | etcd |
| TCP | nks-*-* | 4240 | cilium health check |
| TCP | nks-*-* | 4443 | metrics server |
| TCP | nks-*-* | 6443 | kube control |
| TCP | nks-*-* | 10250 | kubelet |
| TCP | nks-*-* | 30000-32768 | range for health checks on node ports |
| UDP | nks-*-* | 8472 | vxlan overlay |
- Outbound
| 프로토콜 | 목적지 | 허용 포트 | 메모 |
|---|---|---|---|
| ICMP | nks-*-* | host ping failure check | |
| TCP | nks-*-* | 2379-2380 | etcd |
| TCP | nks-*-* | 4240 | cilium health check |
| TCP | nks-*-* | 4443 | metrics server |
| TCP | nks-*-* | 6443 | kube control |
| TCP | nks-*-* | 10250 | kubelet |
| TCP | nks-*-* | 30000-32768 | range for health checks on node ports |
| UDP | nks-*-* | 8472 | vxlan overlay |
자동으로 구성되는 ACG 규칙
Ncloud Kubernetes Service는 아래 상황에서 자동으로 ACG에 규칙을 추가합니다.
- Network Load Balancer(NLB) 생성 시 Inbound 규칙으로 TCP 프로토콜을 사용하며, 0.0.0.0/0 을 접근 소스로 하는 서비스의 노드포트를 허용합니다.
- 어노테이션을 통해 ACG 업데이트 여부 및 Inbound 접근 소스를 설정할 수 있습니다.
- Network Proxy Load Balancer(NPLB) 생성 시 Inbound 규칙으로 TCP 프로토콜을 사용하며, 로드밸런서 서브넷 대역을 접근 소스로 하는 1-65535 포트를 허용합니다.
- 어노테이션을 통해 ACG 업데이트 여부를 설정할 수 있습니다.
- Application Load Balancer(ALB) 생성 시 Inbound 규칙으로 TCP 프로토콜을 사용하며, 로드밸런서 서브넷 대역을 접근 소스로 하는 1-65535 포트를 허용합니다.
이 문서가 도움이 되었습니까?