Tridentポート
変更を提案
PDF
Tridentが通信に使用するポートの詳細については、こちらを参照してください。
概要
Tridentは、Kubernetesクラスタ内およびストレージバックエンドとの通信にさまざまなポートを使用します。以下は、主要なポート、その目的、およびセキュリティに関する考慮事項の概要です。
-
アウトバウンドフォーカス:Kubernetesノード(コントローラとワーカー)は主にストレージLIF/IPへのトラフィックを開始するため、iptablesルールではこれらのポート上のノードIPから特定のストレージIPへのアウトバウンドを許可する必要があります。広範な「any-to-any」ルールは避けてください。
-
受信制限:内部Tridentポートをクラスタ内部トラフィックに制限します(たとえば、CalicoなどのCNIを使用)。ホストファイアウォール上で不要な受信露出はありません。
-
プロトコルセキュリティ:
-
可能な場合は TCP を使用します(信頼性が高くなります)。
-
機密の場合はiSCSIにCHAP/IPsecを有効にし、管理にはTLS/HTTPSを有効にします(ポート443/8443)。
-
NFSv4(Tridentのデフォルト)の場合、必要ない場合はUDP/古いNFSv3ポート(例:4045~4049)を削除します。
-
信頼できるサブネットに制限し、Prometheus(オプションのポート8001)などのツールを使用して監視します。
-
コントローラノードのポート
これらのポートは主にTridentオペレータ(バックエンド管理)用です。すべての内部ポートはポッドレベルです。ホストファイアウォールがCNIに干渉する場合にのみノードで許可します。
| ポート / プロトコル | 送受信方向 | 目的 | ドライバ/プロトコル | セキュリティに関する注意事項 |
|---|---|---|---|---|
TCP 8000 |
受信/送信(クラスタ内部) |
Trident RESTサーバー(オペレーターとコントローラー間の通信) |
すべて |
ポッドCIDRに制限、外部への公開はありません。 |
TCP 8443 |
受信/送信(クラスタ内部) |
バックチャネル HTTPS(安全な内部 API) |
すべて |
TLS暗号化。使用する場合はKubernetesサービスメッシュに制限されます。 |
TCP 8001 |
受信(クラスタ内部、オプション) |
Prometheusメトリクス |
すべて |
監視ツール(RBACの使用など)にのみ公開し、使用しない場合は無効にします。 |
TCP 443 |
アウトバウンド |
HTTPSからONTAP SVM/クラスタ管理LIF |
ONTAP(すべて)、ANF |
TLS証明書の検証が必要です。管理LIF IPのみに制限します。 |
TCP 8443 |
アウトバウンド |
HTTPSからEシリーズWeb Services Proxy |
Eシリーズ(iSCSI) |
デフォルトREST API;証明書を使用します。バックエンドYAMLで構成可能です。 |
ワーカーノードのポート
これらのポートは、CSI ノードデーモンセットとポッドマウント用です。データポートはストレージデータ LIF へのアウトバウンドです。NFSv3 を使用する場合は NFSv3 エクストラを含めます(NFSv4 の場合はオプション)。
| ポート / プロトコル | 送受信方向 | 目的 | ドライバ/プロトコル | セキュリティに関する注意事項 |
|---|---|---|---|---|
TCP 17546 |
受信(ポッドへのローカル) |
CSI ノードの liveness / readiness プローブ |
すべて |
設定可能(--probe-port);ホストの競合がないことを確認する;ローカルのみ。 |
TCP 8000 |
受信/送信(クラスタ内部) |
Trident REST サーバ |
すべて |
上記と同様、pod-internal。 |
TCP 8443 |
受信/送信(クラスタ内部) |
バックチャネル HTTPS |
すべて |
上記の通りです。 |
TCP 8001 |
受信(クラスタ内部、オプション) |
Prometheusメトリクス |
すべて |
上記の通りです。 |
TCP 443 |
アウトバウンド |
HTTPSからONTAP SVM/クラスタ管理LIF |
ONTAP(すべて)、ANF |
上記と同様、検出に使用されます。 |
TCP 8443 |
アウトバウンド |
HTTPSからEシリーズWeb Services Proxy |
Eシリーズ(iSCSI) |
上記の通りです。 |
TCP/UDP 111 |
アウトバウンド |
RPCBIND/portmapper |
ONTAP-NAS(NFSv3/v4)、ANF(NFS) |
v3では必須、v4(ファイアウォールオフロード)ではオプション、NFSv4のみを使用する場合は制限されます。 |
TCP/UDP 2049 |
アウトバウンド |
NFSデーモン |
ONTAP-NAS(NFSv3/v4)、ANF(NFS) |
コアデータ、よく知られている、信頼性のためにTCPを使用。 |
TCP/UDP 635 |
アウトバウンド |
マウントデーモン |
ONTAP-NAS(NFSv3/v4)、ANF(NFS) |
マウント。双方向コールバックが可能です(必要に応じて着信の一時コールを許可します)。 |
UDP 4045 |
アウトバウンド |
NFSロックマネージャー(nlockmgr) |
ONTAP-NAS(NFSv3) |
ファイルロック。v4(pNFS ハンドル)の場合はスキップ。UDP のみ。 |
UDP 4046 |
アウトバウンド |
NFSステータスモニター(statd) |
ONTAP-NAS(NFSv3) |
通知。コールバックには受信一時ポート(1024~65535)が必要になる場合があります。 |
UDP 4049 |
アウトバウンド |
NFSクォータデーモン(rquotad) |
ONTAP-NAS(NFSv3) |
クォータ。v4の場合はスキップします。 |
TCP 3260 |
アウトバウンド |
iSCSIターゲット(検出/データ/CHAP) |
ONTAP-SAN(iSCSI)、Eシリーズ(iSCSI) |
既知のポート。このポートで CHAP 認証を実行。セキュリティのために相互 CHAP を有効にします。 |
TCP 445 |
アウトバウンド |
SMB / CIFS |
ONTAP-NAS(SMB)、ANF(SMB) |
よく知られている、暗号化されたSMB3を使用する(Tridentアノテーション netapp.io/smb-encryption=true)。 |
TCP/UDP 88(オプション) |
アウトバウンド |
Kerberos認証 |
ONTAP(NFS/SMB/iSCSI と Kerb) |
Kerberos を使用する場合(デフォルトではない)、ストレージではなく AD サーバーに接続します。 |
TCP/UDP 389(オプション) |
アウトバウンド |
LDAP |
ONTAP(LDAP を使用した NFS/SMB) |
同様に、名前解決/認証の場合、ADに制限します。 |
|
活性/レディネスプローブポートは、を使用して設置するときに変更できます --probe-port フラグ。このポートがワーカーノード上の別のプロセスで使用されていないことを確認することが重要です。
|