Cluster ACG 설정
- 인쇄
- PDF
Cluster ACG 설정
- 인쇄
- PDF
기사 요약
이 요약이 도움이 되었나요?
의견을 보내 주셔서 감사합니다.
VPC 환경에서 이용 가능합니다.
Ncloud Kubernetes Service를 통해 생성된 클러스터는 nks-*-*
으로 명명된 클러스터 ACG(Access Control Group)를 사용합니다.
nks-*-*
ACG는 클러스터 구성 노드가 사용하는 네트워크 인터페이스에 적용되어 있으며, 클러스터 네트워킹을 위한 규칙이 구성되어 있습니다.
기본 ACG 규칙
클러스터 생성시 ACG의 인바운드 및 아웃바운드 규칙은 기본적으로 아래와 같이 구성되어 있습니다.
Inbound
프로토콜 접근 소스 허용 포트 메모 ICMP nks-*-* automatically created, don't delete it TCP nks-*-* 1-65535 automatically created, don't delete it UDP nks-*-* 1-65535 automatically created, don't delete it Outbound
프로토콜 목적지 허용 포트 메모 ICMP 0.0.0.0/0 automatically created, don't delete it TCP 0.0.0.0/0 1-65535 automatically created, don't delete it UDP 0.0.0.0/0 1-65535 automatically created, don't delete it
필수 ACG 규칙
사용자는 구성 노드 간 포트 제한이 필요한 경우 클러스터 ACG를 수정하여 사용할 수 있습니다.
Kubernetes는 다양한 컴포넌트들이 상호작용하며 동작하므로 클러스터 네트워킹을 위해 최소한 아래 규칙이 허용되어 있어야 합니다.
참고
CNI Plugin 으로 Cilium 을 선택한 경우 해당됩니다.
주의
- 필수 ACG 규칙 이외에 클러스터에서 사용 중인 포트에 대한 확인이 필요합니다.
- 클러스터 ACG 수정으로 인해 발생하는 오류에 대해서는 SLA가 적용되지 않으며 기술지원을 제공하지 않습니다.
Inbound
프로토콜 접근 소스 허용 포트 메모 ICMP nks-*-* host ping failure check TCP nks-*-* 2379-2380 etcd TCP nks-*-* 4240 cilium health check TCP nks-*-* 4443 metrics server TCP nks-*-* 6443 kube control TCP nks-*-* 10250 kubelet TCP nks-*-* 30000-32768 range for health checks on node ports UDP nks-*-* 8472 vxlan overlay Outbound
프로토콜 목적지 허용 포트 메모 ICMP nks-*-* host ping failure check TCP nks-*-* 2379-2380 etcd TCP nks-*-* 4240 cilium health check TCP nks-*-* 4443 metrics server TCP nks-*-* 6443 kube control TCP nks-*-* 10250 kubelet TCP nks-*-* 30000-32768 range for health checks on node ports UDP nks-*-* 8472 vxlan overlay
자동으로 구성되는 ACG 규칙
Ncloud Kubernetes Service는 아래 상황에서 자동으로 ACG에 규칙을 추가합니다.
Network Load Balancer(NLB)
생성 시 Inbound 규칙으로 TCP 프로토콜을 사용하며, 0.0.0.0/0 을 접근 소스로 하는 서비스의 노드포트를 허용합니다.- 어노테이션을 통해 ACG 업데이트 여부 및 Inbound 접근 소스를 설정할 수 있습니다.
Network Proxy Load Balancer(NPLB)
생성 시 Inbound 규칙으로 TCP 프로토콜을 사용하며, 로드밸런서 서브넷 대역을 접근 소스로 하는 1-65535 포트를 허용합니다.- 어노테이션을 통해 ACG 업데이트 여부를 설정할 수 있습니다.
Application Load Balancer(ALB)
생성 시 Inbound 규칙으로 TCP 프로토콜을 사용하며, 로드밸런서 서브넷 대역을 접근 소스로 하는 1-65535 포트를 허용합니다.
이 문서가 도움이 되었습니까?