本文适用于ACK Edge集群的边缘节点(云下节点)以公网方式接入阿里云容器服务平台的场景,并列出了需要放通的域名地址及端口。
边缘节点需要暴露的端口(入方向)
在ACK Edge集群中,控制面和监控组件需要从云端或其它节点访问边缘节点,您需要在边缘节点的主机网段放通下列端口。
|
协议 |
端口 |
源地址或源地址网段 |
注释 |
|
TCP |
10250、10255 |
边缘节点的主机网段。 |
APIServer和MetricsServer 主动访问Kubelet端口,由于通过Raven组件代理到边缘节点,因此需要放开边缘节点的主机网段。 |
|
9100、9445 |
边缘节点的主机网段。 |
Prometheus主动访问Node-Exporter端口,由于通过Raven组件代理,因此需要放开边缘节点的主机网段。 |
|
|
UDP |
8472 |
边缘节点的主机网段。 |
Flannel VXLAN会采用节点UDP 8472端口构建VXLAN隧道,因此需要放开边缘节点的主机网段。 |
边缘节点需要访问的域名(出方向)
为了确保IDC设备或边缘设备能顺利接入ACK Edge集群,您需要放通下表域名。其中{region}为集群所在地域的Region ID,例如杭州地域为cn-hangzhou。具体各地域所对应的Region ID,请参见开服地域。
|
访问对象 |
公网访问域名 |
端口 |
说明 |
|
容器服务控制面 |
|
|
容器服务管控地址。 |
|
组件安装包 |
aliacs-k8s-{region}.oss-{region}.aliyuncs.com |
|
OSS下载地址。可通过OSS下载edgeadm 、kubelet、CNI、runtime、edgehub等安装包。 |
|
API Server 公网端点 |
通过集群基本信息页签查看。 |
TCP 6443 |
与kube-apiserver 交互。 |
|
Tunnel-server 公网 SLB(集群版本<1.26) |
通过集群Service(服务)资源查看: kube-system/x-tunnel-server-svc |
TCP 10262、10263 |
边缘隧道。 |
|
Raven 云端网关 SLB |
通过集群Service(服务)资源查看:
|
|
Raven 隧道。 |
|
NTP |
ntp1.aliyun.com cn.ntp.org.cn |
与NTP协议有关,一般是UDP 123端口。 |
时钟同步服务器地址。 接入时若选择配置 |
|
系统组件镜像地址 |
|
TCP 443 |
系统组件镜像需要使用的地址。 |
|
系统工具 |
系统工具在线安装(无需额外域名) net-tools、iproute、chrony(或者ntpdate)、crontabs、pciutils、socat、ebtables、iptables、conntrack-tools |
不涉及 |
检测待添加节点是否已安装系统工具,如果没有,则会在线安装,具体的访问地址由节点yum/apt源配置决定。
|