如果您的网络配置使用防火墙,则必须确保基础结构组件可以通过充当某些进程或服务的通信终结点的特定端口相互通信。
| services | protocol | action | start port | end port | comment |
|---|---|---|---|---|---|
| ssh | TCP | allow | 22 | 所有节点都需要开放,主控节点执行ansible脚本时需要使用 | |
| etcd | TCP | allow | 2379 | 2380 | 控制节点需要开放,apiserver与etcd直接通信 |
| apiserver | TCP | allow | 6443 | 控制节点开放、所有worker节点需要能联通这个端口 | |
| calico | TCP | allow | 9099 | 9100 | 所有节点都需要开放、并且所有节点都需要互通这两个端口 |
| bgp | TCP | allow | 179 | 所有节点都需要开放、并且所有节点都需要互通这个端口 | |
| nodeport | TCP | allow | 30000 | 32767 | worker节点开放即可,主控节点不需要联通这个端口段 |
| master | TCP | allow | 10250 | 10258 | 所有节点都需要开放,并且主控节点需要能联通worker节点的这个端口段,用于查看worker节点上的容器日志 |
| dns | TCP | allow | 53 | 所有节点都需要开放,但是不需要互通 | |
| dns | UDP | allow | 53 | 所有节点都需要开放,但是不需要互通 | |
| local-registry | TCP | allow | 5000 | offline environment | |
| local-apt | TCP | allow | 5080 | offline environment | |
| rpcbind | TCP | allow | 111 | use NFS | |
| ipip | IPENCAP / IPIP | allow | calico needs to allow the ipip protocol |
原文:https://www.cnblogs.com/zhangmingcheng/p/14136923.html