本文适用于ACK Edge集群的边缘节点(云下节点)以公网方式接入阿里云容器服务平台的场景,并列出了需要放通的域名地址及端口。
边缘节点需要暴露的端口(入方向)
在ACK Edge集群中,控制面和监控组件需要从云端或其它节点访问边缘节点,您需要在边缘节点的主机网段放通下列端口。
协议 | 端口 | 源地址或源地址网段 | 注释 |
TCP | 10250、10255 | 边缘节点的主机网段。 | APIServer和MetricsServer 主动访问Kubelet端口,由于通过Raven组件代理到边缘节点,因此需要放开边缘节点的主机网段。 |
9100、9445 | 边缘节点的主机网段。 | Promethues主动访问Node-Exporter端口,由于通过Raven组件代理,因此需要放开边缘节点的主机网段。 | |
UDP | 8472 | 边缘节点的主机网段。 | Flannel VXLAN会采用节点UDP 8472端口构件VXLAN隧道,因此需要放开边缘节点的主机网段。 |
边缘节点需要访问的域名(出方向)
为了确保IDC设备或边缘设备能顺利接入ACK Edge集群,您需要放通下表域名。其中{region}为集群所在地域的Region ID,例如杭州地域为cn-hangzhou。具体各地域所对应的Region ID,请参见开服地域。
访问对象 | 公网访问域名 | 端口 | 说明 |
容器服务控制面 |
|
| 容器服务管控地址。 |
组件安装包 | aliacs-k8s-{region}.oss-{region}.aliyuncs.com |
| OSS下载地址。可通过OSS下载edgeadm 、kubelet、CNI、runtime、edgehub等安装包。 |
API Server 公网端点 | 通过集群基本信息页签查看。 | TCP 6443 | 与kube-apiserver 交互。 |
Tunnel-server 公网 SLB(集群版本<1.26) | 通过集群Service(服务)资源查看: kube-system/x-tunnel-server-svc | TCP 10262、10263 | 边缘隧道。 |
Raven 云端网关 SLB | 通过集群Service(服务)资源查看:
|
| Raven 隧道。 |
NTP | ntp1.aliyun.com cn.ntp.org.cn | 与NTP协议有关,一般是UDP 123端口。 | 时钟同步服务器地址。 接入时若选择配置 |
系统组件镜像地址 |
| TCP 443 | 系统组件镜像需要使用的地址。 |
系统工具 | 系统工具在线安装(无需额外域名) net-tools、iproute、chrony(或者ntpdate)、crontabs、pciutils、socat、ebtables、iptables、conntrack-tools | 不涉及 | 检测待添加节点是否已安装系统工具,如果没有,则会在线安装,具体的访问地址由节点yum/apt源配置决定。
|