2.2.2.4. 必須ポート
OpenShift Container Platform のインストールは、iptables を使用して各ホストに内部のファイアウォールルール一式を自動的に作成します。ただし、ネットワーク設定でハードウェアベースのファイアウォールなどの外部ファイアウォールを使用する場合、インフラストラクチャーコンポーネントが、特定のプロセスまたはサービスの通信エンドポイントとして機能する特定ポートで相互に通信できることを確認する必要があります。
OpenShift Container Platform で必要な以下のポートがネットワーク上で開いており、ホスト間のアクセスを許可するよう設定されていることを確認してください。設定や使用状況によって、一部はポートはオプションになります。
| 4789 | UDP | 別個のホストの Pod 間の SDN 通信に必要です。 |
| 4789 | UDP | 別個のホストの Pod 間の SDN 通信に必要です。 |
| 443 または 8443 | TCP | ノードホストがマスター API と通信するために必要です。 ノードホストがステータスをポストバックしたり、タスクを受信したりする際に使用します。 |
| 4789 | UDP | 別個のホストの Pod 間の SDN 通信に必要です。 |
| 10250 | TCP |
マスターは |
| 10010 | TCP |
CRI-O を使用している場合は、このポートを開き、 |
| 2049 | TCP/UDP | NFS ホストをインストーラーの一部としてプロビジョニングする場合に必要です。 |
| 2379 | TCP | スタンドアロン etcd (クラスター化) が状態の変更を受け取るために使用されます。 |
| 2380 | TCP | etcd はスタンドアロン etcd (クラスター化) を使用する場合、リーダー選定とピアリング接続のためにこのポートがマスター間で開かれていることを要求します。 |
| 4789 | UDP | 別個のホストの Pod 間の SDN 通信に必要です。 |
| 9000 | TCP |
|
| 443 または 8443 | TCP | ノードホストがマスター API と通信するために必要です。 ノードホストがステータスをポストバックしたり、タスクを受信したりする際に使用します。 |
| 8444 | TCP |
コントローラーマネージャーおよびスケジューラーサービスがリッスンするポート。 |
| 22 | TCP | インストーラーまたはシステム管理者が SSH で必要とします。 |
| 53 または 8053 | TCP/UDP | クラスターサービス (SkyDNS) の DNS 解決に必要です。3.2 よりも前のインストールまたは 3.2 にアップグレードした環境はポート 53 を使用します。新規インストールはデフォルトで 8053 を使用するため、dnsmasq が設定される可能性があります。マスターホストの内部で開かれている必要があります。 |
| 80 または 443 | TCP | ルーターの HTTP/HTTPS 用です。ノードホスト、とくにルーターを実行しているノードで外部に開かれている必要があります。 |
| 1936 | TCP | (オプション) テンプレートルーターを実行して統計にアクセスする際に開かれている必要があります。統計をどのように公開する必要があるかによって、接続に対して外部または内部に開くことができます。この場合、追加の設定が必要になることがあります。詳しくは、以下の注記セクションを参照してください。 |
| 2379 および 2380 | TCP | スタンドアロン etcd 用です。マスターホストの内部で開かれている必要があります。2379 はサーバークライアント接続用です。2380 はサーバー間の接続用で、クラスター化された etcd がある場合にのみ必要となります。 |
| 4789 | UDP | VxLAN 用 (OpenShift SDN) です。ノードホストの内部で開かれている必要があります。 |
| 8443 | TCP | OpenShift Container Platform Web コンソール用で、API サーバーと共有します。 |
| 10250 | TCP | Kubelet 用です。ノード上で外部に開かれている必要があります。 |
備考
- 上記の例では、ポート 4789 は UDP (User Datagram Protocol) に使用されます。
- デプロイメントで SDN を使用している場合、レジストリーがデプロイされているのと同じノードからレジストリーにアクセスしているのでない限り、 Pod のネットワークはサービスプロキシー経由でアクセスされます。
- OpenShift Container Platform の内部 DNS は SDN 経由で受け取ることができません。クラウド以外のデプロイメントの場合、これはデフォルトで、マスターホストのデフォルトルートに関連付けられた IP アドレスに設定されます。クラウドデプロイメントの場合、これはデフォルトでクラウドメタデータで定義される最初の内部インターフェイスに関連付けられた IP アドレスに設定されます。
-
マスターホストはポート 10250 を使用してノードに到達し、SDN を経由しません。デプロイメントのターゲットホストによって異なりますが、
openshift_public_hostnameの計算された値を使用します。 iptables ルールにより、ポート 1936 はアクセス不可能な状態になります。ポート 1936 を開くよう iptables を設定するには以下を使用してください。
# iptables -A OS_FIREWALL_ALLOW -p tcp -m state --state NEW -m tcp \ --dport 1936 -j ACCEPT
| 9200 | TCP |
Elasticsearch API 用です。Kibana が表示用にログを取得できるようにインフラストラクチャーノードの内部で開かれている必要があります。ルートを使用して Elasticsearch に直接アクセスできるよう外部に開くこともできます。ルートは |
| 9300 | TCP | Elasticsearch のクラスター内での使用向けです。Elasticsearch クラスターのメンバーが相互に通信できるようにインフラストラクチャーノードで内部に開かれている必要があります。 |
| 9090 | TCP | Prometheus API および Web コンソール用です。 |
| 9100 | TCP | ハードウェアおよびオペレーティングシステムのメトリクスをエクスポートする Prometheus Node-Exporter 用です。ポート 9100 は、Prometheus サーバーがメトリクスを収集するために各 OpenShift Container Platform ホストで開かれている必要があります。 |
| 8443 | TCP | ノードホストがマスター API と通信するために必要です。ノードホストがステータスをポストバックしたり、タスクを受信したりする際に使用します。 このポートはマスターおよびインフラストラクチャーノードから任意のマスターノードに対して許可される必要があります。 |
| 10250 | TCP | Kubernetes cAdvisor、コンテナーリソースの使用状況およびパフォーマンス分析エージェント用です。このポートはマスターおよびインフラストラクチャーノードから任意のマスターノードに対して許可される必要があります。メトリクスについては、ソースがインフラストラクチャーノードにある必要があります。 |
| 8444 | TCP | コントローラーマネージャーおよびスケジューラーサービスがリッスンするポート。ポート 8444 は各 OpenShift Container Platform ホストで開かれている必要があります。 |
| 1936 | TCP | (オプション) テンプレートルーターを実行して統計にアクセスする際に開かれている必要があります。このポートは、Prometheus インフラストラクチャーメトリクスがルーターで有効にされている場合にインフラストラクチャーノードからルーターをホストするインフラストラクチャーノードに対して許可される必要があります。統計を公開する必要があるかどうかに応じて、接続に対して外部または内部に開くことができます。この場合、追加の設定が必要になることがあります。詳しくは、以下の注記セクションを参照してください。 |
備考
