公网环境下节点以及网络设备配置

本文适用于ACK Edge集群的边缘节点(云下节点)以公网方式接入阿里云容器服务平台的场景,并列出了需要放通的域名地址及端口。

边缘节点需要暴露的端口(入方向)

ACK Edge集群中,控制面和监控组件需要从云端或其它节点访问边缘节点,您需要在边缘节点的主机网段放通下列端口。

协议

端口

源地址或源地址网段

注释

TCP

10250、10255

边缘节点的主机网段。

APIServerMetricsServer 主动访问Kubelet端口,由于通过Raven组件代理到边缘节点,因此需要放开边缘节点的主机网段。

9100、9445

边缘节点的主机网段。

Promethues主动访问Node-Exporter端口,由于通过Raven组件代理,因此需要放开边缘节点的主机网段。

UDP

8472

边缘节点的主机网段。

Flannel VXLAN会采用节点UDP 8472端口构件VXLAN隧道,因此需要放开边缘节点的主机网段。

边缘节点需要访问的域名(出方向)

为了确保IDC设备或边缘设备能顺利接入ACK Edge集群,您需要放通下表域名。其中{region}为集群所在地域的Region ID,例如杭州地域为cn-hangzhou。具体各地域所对应的Region ID,请参见开服地域

访问对象

公网访问域名

端口

说明

容器服务控制面

  • cs-anony.aliyuncs.com

  • cs-anony.{region}.aliyuncs.com

  • TCP 443(集群版本 ≥ 1.26)

  • TCP 80(集群版本<1.26)

容器服务管控地址。

组件安装包

aliacs-k8s-{region}.oss-{region}.aliyuncs.com

  • TCP 443(集群版本 ≥ 1.26)

  • TCP 80443(集群版本<1.26)

OSS下载地址。可通过OSS下载edgeadm 、kubelet、CNI、runtime、edgehub等安装包。

API Server 公网端点

通过集群基本信息页签查看。

TCP 6443

kube-apiserver 交互。

Tunnel-server 公网 SLB(集群版本<1.26)

通过集群Service(服务)资源查看:

kube-system/x-tunnel-server-svc

TCP 10262、10263

边缘隧道。

Raven 云端网关 SLB

通过集群Service(服务)资源查看:

  • kube-system/x-raven-proxy-svc-gw-cloud-xxx

  • kube-system/x-raven-tunnel-svc-gw-cloud-xxx

  • TCP [10280,10284]

  • UDP 4500

Raven 隧道。

NTP

ntp1.aliyun.com cn.ntp.org.cn

NTP协议有关,一般是UDP 123端口。

时钟同步服务器地址。

接入时若选择配置selfHostNtpServer参数为true,即已手动完成时间同步,则不需要使用该地址。

系统组件镜像地址

  • dockerauth.{region}.aliyuncs.com

    重要

    如果地域为cn-zhangjiakou,此处对应的Docker公网访问域名需修改为dockerauth-{region}.aliyuncs.com。

  • dockerauth-ee.{region}.aliyuncs.com

  • aliregistry-{region}.oss-{region}.aliyuncs.com

  • registry.{region}.aliyuncs.com

    重要

    此处为ACR个人版实例地址,仅在如下Region的集群需要配置。

    展开查看哪些Region需要配置

    • cn-nanjing

    • me-east-1

    • cn-north-2-gov-1

    • cn-hangzhou-finance-1

    • cn-shanghai-mybk

    • cn-shenzhen-finance-1

    • cn-beijing-finance-1

    • cn-wuhan-lr

    • cn-heyuan-acdr-1

  • registry-{region}.ack.aliyuncs.com

TCP 443

系统组件镜像需要使用的地址。

系统工具

系统工具在线安装(无需额外域名)

net-tools、iproute、chrony(或者ntpdate)、crontabs、pciutils、socat、ebtables、iptables、conntrack-tools

不涉及

检测待添加节点是否已安装系统工具,如果没有,则会在线安装,具体的访问地址由节点yum/apt源配置决定。

  • 如果是Ubuntu系统,则采用apt-get安装。

  • 如果是CentOS系统,则采用yum安装。