Cluster ACG 설정

VPC 환경에서 이용 가능합니다.

Ncloud Kubernetes Service를 통해 생성된 클러스터는 nks-*-* 으로 명명된 클러스터 ACG(Access Control Group)를 사용합니다.
nks-*-* ACG는 클러스터 구성 노드가 사용하는 네트워크 인터페이스에 적용되어 있으며, 클러스터 네트워킹을 위한 규칙이 구성되어 있습니다.

기본 ACG 규칙

클러스터 생성시 ACG의 인바운드 및 아웃바운드 규칙은 기본적으로 아래와 같이 구성되어 있습니다.

• Inbound

  프로토콜	접근 소스	허용 포트	메모
  ICMP	nks-*-*		automatically created, don't delete it
  TCP	nks-*-*	1-65535	automatically created, don't delete it
  UDP	nks-*-*	1-65535	automatically created, don't delete it

• Outbound

  프로토콜	목적지	허용 포트	메모
  ICMP	0.0.0.0/0		automatically created, don't delete it
  TCP	0.0.0.0/0	1-65535	automatically created, don't delete it
  UDP	0.0.0.0/0	1-65535	automatically created, don't delete it

필수 ACG 규칙

사용자는 구성 노드 간 포트 제한이 필요한 경우 클러스터 ACG를 수정하여 사용할 수 있습니다.
Kubernetes는 다양한 컴포넌트들이 상호작용하며 동작하므로 클러스터 네트워킹을 위해 최소한 아래 규칙이 허용되어 있어야 합니다.

• Inbound

  프로토콜	접근 소스	허용 포트	메모
  ICMP	nks-*-*		host ping failure check
  TCP	nks-*-*	2379-2380	etcd
  TCP	nks-*-*	4240	cilium health check
  TCP	nks-*-*	4443	metrics server
  TCP	nks-*-*	6443	kube control
  TCP	nks-*-*	10250	kubelet
  TCP	nks-*-*	30000-32768	range for health checks on node ports
  UDP	nks-*-*	8472	vxlan overlay

• Outbound

  프로토콜	목적지	허용 포트	메모
  ICMP	nks-*-*		host ping failure check
  TCP	nks-*-*	2379-2380	etcd
  TCP	nks-*-*	4240	cilium health check
  TCP	nks-*-*	4443	metrics server
  TCP	nks-*-*	6443	kube control
  TCP	nks-*-*	10250	kubelet
  TCP	nks-*-*	30000-32768	range for health checks on node ports
  UDP	nks-*-*	8472	vxlan overlay

자동으로 구성되는 ACG 규칙

Ncloud Kubernetes Service는 아래 상황에서 자동으로 ACG에 규칙을 추가합니다.

• Network Load Balancer(NLB) 생성 시 Inbound 규칙으로 TCP 프로토콜을 사용하며, 0.0.0.0/0 을 접근 소스로 하는 서비스의 노드포트를 허용합니다.
  • 어노테이션을 통해 ACG 업데이트 여부 및 Inbound 접근 소스를 설정할 수 있습니다.
• Network Proxy Load Balancer(NPLB) 생성 시 Inbound 규칙으로 TCP 프로토콜을 사용하며, 로드밸런서 서브넷 대역을 접근 소스로 하는 1-65535 포트를 허용합니다.
  • 어노테이션을 통해 ACG 업데이트 여부를 설정할 수 있습니다.
• Application Load Balancer(ALB) 생성 시 Inbound 규칙으로 TCP 프로토콜을 사용하며, 로드밸런서 서브넷 대역을 접근 소스로 하는 1-65535 포트를 허용합니다.