红帽全球峰会2.2. OpenShift Container Platform 网络流列表
以下网络流列表描述了以下环境的 OpenShift Container Platform 服务的入站流:
- 裸机上的 OpenShift Container Platform
- 带有其他平台的单节点 OpenShift
- Amazon Web Services (AWS) 上的 OpenShift Container Platform
- AWS 上的单节点 OpenShift
使用适当的网络流列表中的信息帮助您管理特定环境的入口流量。您可以将入口流量限制为基本流以提高网络安全性。
另外,在为裸机和云环境管理入口流量时,请考虑以下动态端口范围:
-
9000-9999: 主机级别的服务 -
30000-32767: Kubernetes 节点端口 -
49152-65535: 动态或专用端口
要查看或下载环境的完整原始 CSV 内容,请查看以下资源:
网络流列表描述了基本 OpenShift Container Platform 或单节点 OpenShift 安装的入口流量流。列表不适用于托管 control plane、红帽构建的 MicroShift 或独立集群。
2.2.1. 基本网络流
以下列表描述了 OpenShift Container Platform 服务的基本入口流。
有关到单节点 OpenShift 集群的基本入口流,请参阅 Control plane 节点基本流 列表。
| 方向 | 协议 | port | Namespace | service | Pod | Container | 节点角色 | 选填 |
|---|---|---|---|---|---|---|---|---|
| 入口 | TCP | 22 | 主机系统服务 | sshd | master | TRUE | ||
| 入口 | TCP | 111 | 主机系统服务 | rpcbind | master | TRUE | ||
| 入口 | TCP | 2379 | openshift-etcd | etcd | etcd | etcdctl | master | FALSE |
| 入口 | TCP | 2380 | openshift-etcd | healthz | etcd | etcd | master | FALSE |
| 入口 | TCP | 6080 | openshift-kube-apiserver | kube-apiserver | kube-apiserver-insecure-readyz | master | FALSE | |
| 入口 | TCP | 6443 | openshift-kube-apiserver | APIServer | kube-apiserver | kube-apiserver | master | FALSE |
| 入口 | TCP | 8080 | openshift-network-operator | network-operator | network-operator | master | FALSE | |
| 入口 | TCP | 8798 | openshift-machine-config-operator | machine-config-daemon | machine-config-daemon | machine-config-daemon | master | FALSE |
| 入口 | TCP | 9001 | openshift-machine-config-operator | machine-config-daemon | machine-config-daemon | kube-rbac-proxy | master | FALSE |
| 入口 | TCP | 9099 | openshift-cluster-version | cluster-version-operator | cluster-version-operator | cluster-version-operator | master | FALSE |
| 入口 | TCP | 9100 | openshift-monitoring | node-exporter | node-exporter | kube-rbac-proxy | master | FALSE |
| 入口 | TCP | 9103 | openshift-ovn-kubernetes | ovn-kubernetes-node | ovnkube-node | kube-rbac-proxy-node | master | FALSE |
| 入口 | TCP | 9104 | openshift-network-operator | metrics | network-operator | network-operator | master | FALSE |
| 入口 | TCP | 9105 | openshift-ovn-kubernetes | ovn-kubernetes-node | ovnkube-node | kube-rbac-proxy-ovn-metrics | master | FALSE |
| 入口 | TCP | 9107 | openshift-ovn-kubernetes | egressip-node-healthcheck | ovnkube-node | ovnkube-controller | master | FALSE |
| 入口 | TCP | 9108 | openshift-ovn-kubernetes | ovn-kubernetes-control-plane | ovnkube-control-plane | kube-rbac-proxy | master | FALSE |
| 入口 | TCP | 9192 | openshift-cluster-machine-approver | machine-approver | machine-approver | kube-rbac-proxy | master | FALSE |
| 入口 | TCP | 9258 | openshift-cloud-controller-manager-operator | machine-approver | cluster-cloud-controller-manager | cluster-cloud-controller-manager | master | FALSE |
| 入口 | TCP | 9637 | openshift-machine-config-operator | kube-rbac-proxy-crio | kube-rbac-proxy-crio | kube-rbac-proxy-crio | master | FALSE |
| 入口 | TCP | 9978 | openshift-etcd | etcd | etcd | etcd-metrics | master | FALSE |
| 入口 | TCP | 9979 | openshift-etcd | etcd | etcd | etcd-metrics | master | FALSE |
| 入口 | TCP | 9980 | openshift-etcd | etcd | etcd | etcd | master | FALSE |
| 入口 | TCP | 10250 | 主机系统服务 | kubelet | master | FALSE | ||
| 入口 | TCP | 10256 | openshift-ovn-kubernetes | ovnkube | ovnkube | ovnkube-controller | master | FALSE |
| 入口 | TCP | 10257 | openshift-kube-controller-manager | kube-controller-manager | kube-controller-manager | kube-controller-manager | master | FALSE |
| 入口 | TCP | 10259 | openshift-kube-scheduler | scheduler | openshift-kube-scheduler | kube-scheduler | master | FALSE |
| 入口 | TCP | 17697 | openshift-kube-apiserver | openshift-kube-apiserver-healthz | kube-apiserver | kube-apiserver-check-endpoints | master | FALSE |
| 入口 | TCP | 22623 | openshift-machine-config-operator | machine-config-server | machine-config-server | machine-config-server | master | FALSE |
| 入口 | TCP | 22624 | openshift-machine-config-operator | machine-config-server | machine-config-server | machine-config-server | master | FALSE |
| 入口 | UDP | 111 | 主机系统服务 | rpcbind | master | TRUE |
| 方向 | 协议 | port | Namespace | service | Pod | Container | 节点角色 | 选填 |
|---|---|---|---|---|---|---|---|---|
| 入口 | TCP | 22 | 主机系统服务 | sshd | worker | TRUE | ||
| 入口 | TCP | 111 | 主机系统服务 | rpcbind | worker | TRUE | ||
| 入口 | TCP | 8798 | openshift-machine-config-operator | machine-config-daemon | machine-config-daemon | machine-config-daemon | worker | FALSE |
| 入口 | TCP | 9001 | openshift-machine-config-operator | machine-config-daemon | machine-config-daemon | kube-rbac-proxy | worker | FALSE |
| 入口 | TCP | 9100 | openshift-monitoring | node-exporter | node-exporter | kube-rbac-proxy | worker | FALSE |
| 入口 | TCP | 9103 | openshift-ovn-kubernetes | ovn-kubernetes-node | ovnkube-node | kube-rbac-proxy-node | worker | FALSE |
| 入口 | TCP | 9105 | openshift-ovn-kubernetes | ovn-kubernetes-node | ovnkube-node | kube-rbac-proxy-ovn-metrics | worker | FALSE |
| 入口 | TCP | 9107 | openshift-ovn-kubernetes | egressip-node-healthcheck | ovnkube-node | ovnkube-controller | worker | FALSE |
| 入口 | TCP | 9637 | openshift-machine-config-operator | kube-rbac-proxy-crio | kube-rbac-proxy-crio | kube-rbac-proxy-crio | worker | FALSE |
| 入口 | TCP | 10250 | 主机系统服务 | kubelet | worker | FALSE | ||
| 入口 | TCP | 10256 | openshift-ovn-kubernetes | ovnkube | ovnkube | ovnkube-controller | worker | FALSE |
| 入口 | UDP | 111 | 主机系统服务 | rpcbind | worker | TRUE |
2.2.2. 裸机上的 OpenShift Container Platform 额外的网络流
除了基本网络流外,以下列表还描述了特定于裸机上的 OpenShift Container Platform 服务的 OpenShift Container Platform 服务的入口流。
| 方向 | 协议 | port | Namespace | service | Pod | Container | 节点角色 | 选填 |
|---|---|---|---|---|---|---|---|---|
| 入口 | TCP | 53 | openshift-dns | dns-default | dnf-default | dns | master | FALSE |
| 入口 | TCP | 6180 | openshift-machine-api | metal3-state | metal3 | metal3-httpd | master | FALSE |
| 入口 | TCP | 6183 | openshift-machine-api | metal3-state | metal3 | metal3-httpd | master | FALSE |
| 入口 | TCP | 6385 | openshift-machine-api | metal3-state | metal3 | metal3-httpd | master | FALSE |
| 入口 | TCP | 6388 | openshift-machine-api | metal3-state | metal3 | metal3-httpd | master | FALSE |
| 入口 | TCP | 9444 | openshift-kni-infra | hapoxy | hapoxy | master | FALSE | |
| 入口 | TCP | 9445 | openshift-kni-infra | hapoxy | hapoxy | master | FALSE | |
| 入口 | TCP | 9454 | openshift-kni-infra | hapoxy | hapoxy | master | FALSE | |
| 入口 | TCP | 18080 | openshift-kni-infra | coredns | coredns | master | FALSE | |
| 入口 | UDP | 53 | openshift-dns | dns-default | dnf-default | dns | master | FALSE |
| 入口 | UDP | 6081 | openshift-ovn-kubernetes | ovn-kubernetes geneve | master | FALSE | ||
| 入口 | TCP | 53 | openshift-dns | dns-default | dnf-default | dns | worker | FALSE |
| 入口 | TCP | 80 | openshift-ingress | router-internal-default | router-default | 路由器 | worker | FALSE |
| 入口 | TCP | 443 | openshift-ingress | router-internal-default | router-default | 路由器 | worker | FALSE |
| 入口 | TCP | 1936 | openshift-ingress | router-internal-default | router-default | 路由器 | worker | FALSE |
| 入口 | TCP | 18080 | openshift-kni-infra | coredns | coredns | worker | FALSE | |
| 入口 | UDP | 53 | openshift-dns | dns-default | dnf-default | dns | worker | FALSE |
| 入口 | UDP | 6081 | openshift-ovn-kubernetes | ovn-kubernetes geneve | worker | FALSE |
2.2.3. 带有其他平台的单节点 OpenShift 的额外网络流
除了基本网络流外,以下列表还描述了特定于安装清单中 platform: none 的单节点 OpenShift 的 OpenShift Container Platform 服务的入站流。
| 方向 | 协议 | port | Namespace | service | Pod | Container | 节点角色 | 选填 |
|---|---|---|---|---|---|---|---|---|
| 入口 | TCP | 80 | openshift-ingress | router-internal-default | router-default | 路由器 | master | FALSE |
| 入口 | TCP | 443 | openshift-ingress | router-internal-default | router-default | 路由器 | master | FALSE |
| 入口 | TCP | 1936 | openshift-ingress | router-internal-default | router-default | 路由器 | master | FALSE |
2.2.4. AWS 上的 OpenShift Container Platform 的额外网络流
除了基本网络流外,以下列表还描述了特定于 AWS上的 OpenShift Container Platform 服务的 OpenShift Container Platform 服务的入口流。
| 方向 | 协议 | port | Namespace | service | Pod | Container | 节点角色 | 选填 |
|---|---|---|---|---|---|---|---|---|
| 入口 | TCP | 10258 | openshift-cloud-controller-manager-operator | cloud-controller | cloud-controller-manager | cloud-controller-manager | master | FALSE |
| 入口 | TCP | 80 | openshift-ingress | router-default | router-default | 路由器 | worker | FALSE |
| 入口 | TCP | 443 | openshift-ingress | router-default | router-default | 路由器 | worker | FALSE |
| 入口 | UDP | 6081 | openshift-ovn-kubernetes | ovn-kubernetes geneve | worker | FALSE |
2.2.5. AWS 上的单节点 OpenShift 的额外网络流
除了基本网络流外,以下列表还描述了特定于 AWS上的单节点 OpenShift 的 OpenShift Container Platform 服务的入口流。
| 方向 | 协议 | port | Namespace | service | Pod | Container | 节点角色 | 选填 |
|---|---|---|---|---|---|---|---|---|
| 入口 | TCP | 80 | openshift-ingress | router-default | router-default | 路由器 | master | FALSE |
| 入口 | TCP | 443 | openshift-ingress | router-default | router-default | 路由器 | master | FALSE |
| 入口 | TCP | 10258 | openshift-cloud-controller-manager-operator | cloud-controller | cloud-controller-manager | cloud-controller-manager | master | FALSE |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}