华为云UCS-数据规划:防火墙规划
防火墙规划
防火墙的规划需符合表1中要求。
源设备 |
源IP |
源端口 |
目的设备 |
目的IP |
目的端口(侦听) |
协议 |
端口说明 |
侦听端口是否可更改 |
认证方式 |
加密方式 |
---|---|---|---|---|---|---|---|---|---|---|
ucsctl执行机 |
源设备所在节点IP |
ALL |
所有节点 |
目的设备所在节点IP |
22 |
TCP |
SSH |
否 |
证书/用户名密码 |
TLS v1.2 |
所有节点 |
源设备所在节点IP |
ALL |
NTP server |
目的设备所在节点IP |
123 |
UDP |
ntp |
否 |
无 |
无 |
所有节点 |
源设备所在节点IP |
ALL |
DNS server |
目的设备所在节点IP |
53 |
UDP |
dns |
否 |
无 |
无 |
所有节点 |
源设备所在节点IP |
ALL |
自建APT源 |
目的设备所在节点IP |
80/443 |
TCP |
http |
否 |
无 |
无 |
所有节点 |
源设备所在节点IP |
ALL |
集群负载均衡/VIP |
目的设备所在节点IP |
5443 |
TCP |
kube-apiserver |
否 |
https+证书 |
TLS v1.2 |
所有节点 |
源设备所在节点IP |
1024-65535 |
所有节点 |
目的设备所在节点IP |
1024-65535 |
ALL |
无 |
否 |
无 |
无 |
所有节点 |
源设备所在节点IP |
ALL |
所有节点 |
目的设备所在节点IP |
8472 |
UDP |
vxlan端口 |
否 |
无 |
无 |
需要访问ingress的节点 |
源设备所在节点IP |
ALL |
网络节点 |
目的设备所在节点IP |
80/443/按需指定端口 |
TCP |
http |
否 |
https+证书 |
TLS v1.2 |
所有节点 |
源设备所在节点IP |
ALL |
3台master节点 |
目的设备所在节点IP |
5444 |
TCP |
kube-apiserver |
否 |
https+证书 |
TLS v1.2 |
ucsctl执行机 |
源设备所在节点IP |
ALL |
华为云OBS服务 |
obs.cn-north-4.myhuaweicloud.com |
443 |
TCP |
http |
否 |
https+证书 |
TLS v1.2 |
3台master节点 |
源设备所在节点IP |
ALL |
华为云UCS服务 |
124.70.21.61 proxyurl.ucs.myhuaweicloud.com |
30123 |
TCP |
grpc |
否 |
https+证书 |
TLS v1.2 |
3台master节点 |
源设备所在节点IP |
ALL |
华为云IAM服务 |
iam.cn-north-4.myhuaweicloud.com |
443 |
TCP |
http |
否 |
https+证书 |
TLS v1.2 |
所有节点 |
源设备所在节点IP |
All |
华为云SWR服务 |
swr.cn-north-4.myhuaweicloud.com |
443 |
TCP |
http |
否 |
https+证书 |
TLS v1.2 |
所有节点 |
源设备所在节点IP |
ALL |
Ubuntu官方源/国内代理源 |
按需配置 |
80/443 |
TCP |
http |
否 |
无 |
无 |
监控节点 |
源设备所在节点IP |
ALL |
华为云AOM |
域名对应IP地址 |
443 |
TCP |
http |
否 |
https+证书 |
TLS v1.2 |
监控节点 |
源设备所在节点IP |
ALL |
华为云LTS |
域名对应IP地址 |
443 |
TCP |
http |
否 |
https+证书 |
TLS v1.2 |