Cluster ACG 설정
    • PDF

    Cluster ACG 설정

    • PDF

    기사 요약

    VPC 환경에서 이용 가능합니다.

    Ncloud Kubernetes Service를 통해 생성된 클러스터는 nks-*-* 으로 명명된 클러스터 ACG(Access Control Group)를 사용합니다.
    nks-*-* ACG는 클러스터 구성 노드가 사용하는 네트워크 인터페이스에 적용되어 있으며, 클러스터 네트워킹을 위한 규칙이 구성되어 있습니다.

    기본 ACG 규칙

    클러스터 생성시 ACG의 인바운드 및 아웃바운드 규칙은 기본적으로 아래와 같이 구성되어 있습니다.

    • Inbound

      프로토콜접근 소스허용 포트메모
      ICMPnks-*-*automatically created, don't delete it
      TCPnks-*-*1-65535automatically created, don't delete it
      UDPnks-*-*1-65535automatically created, don't delete it
    • Outbound

      프로토콜목적지허용 포트메모
      ICMP0.0.0.0/0automatically created, don't delete it
      TCP0.0.0.0/01-65535automatically created, don't delete it
      UDP0.0.0.0/01-65535automatically created, don't delete it

    필수 ACG 규칙

    사용자는 구성 노드 간 포트 제한이 필요한 경우 클러스터 ACG를 수정하여 사용할 수 있습니다.
    Kubernetes는 다양한 컴포넌트들이 상호작용하며 동작하므로 클러스터 네트워킹을 위해 최소한 아래 규칙이 허용되어 있어야 합니다.

    참고

    CNI Plugin 으로 Cilium 을 선택한 경우 해당됩니다.

    주의
    • 필수 ACG 규칙 이외에 클러스터에서 사용 중인 포트에 대한 확인이 필요합니다.
    • 클러스터 ACG 수정으로 인해 발생하는 오류에 대해서는 SLA가 적용되지 않으며 기술지원을 제공하지 않습니다.
    • Inbound

      프로토콜접근 소스허용 포트메모
      ICMPnks-*-*host ping failure check
      TCPnks-*-*2379-2380etcd
      TCPnks-*-*4240cilium health check
      TCPnks-*-*4443metrics server
      TCPnks-*-*6443kube control
      TCPnks-*-*10250kubelet
      TCPnks-*-*30000-32768range for health checks on node ports
      UDPnks-*-*8472vxlan overlay
    • Outbound

      프로토콜목적지허용 포트메모
      ICMPnks-*-*host ping failure check
      TCPnks-*-*2379-2380etcd
      TCPnks-*-*4240cilium health check
      TCPnks-*-*4443metrics server
      TCPnks-*-*6443kube control
      TCPnks-*-*10250kubelet
      TCPnks-*-*30000-32768range for health checks on node ports
      UDPnks-*-*8472vxlan overlay

    자동으로 구성되는 ACG 규칙

    Ncloud Kubernetes Service는 아래 상황에서 자동으로 ACG에 규칙을 추가합니다.

    • Network Load Balancer(NLB) 생성 시 Inbound 규칙으로 TCP 프로토콜을 사용하며, 0.0.0.0/0 을 접근 소스로 하는 서비스의 노드포트를 허용합니다.
      • 어노테이션을 통해 ACG 업데이트 여부 및 Inbound 접근 소스를 설정할 수 있습니다.
    • Network Proxy Load Balancer(NPLB) 생성 시 Inbound 규칙으로 TCP 프로토콜을 사용하며, 로드밸런서 서브넷 대역을 접근 소스로 하는 1-65535 포트를 허용합니다.
      • 어노테이션을 통해 ACG 업데이트 여부를 설정할 수 있습니다.
    • Application Load Balancer(ALB) 생성 시 Inbound 규칙으로 TCP 프로토콜을 사용하며, 로드밸런서 서브넷 대역을 접근 소스로 하는 1-65535 포트를 허용합니다.

    이 문서가 도움이 되었습니까?

    Changing your password will log you out immediately. Use the new password to log back in.
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.