Trident 포트
변경 제안
PDF
Trident가 통신에 사용하는 포트에 대해 자세히 알아보십시오.
개요
Trident는 Kubernetes 클러스터 내부 및 스토리지 백엔드와의 통신을 위해 다양한 포트를 사용합니다. 다음은 주요 포트, 해당 용도 및 보안 고려 사항에 대한 요약입니다.
-
아웃바운드 포커스: Kubernetes 노드(컨트롤러 및 작업자)는 주로 스토리지 LIF/IP로 트래픽을 시작하므로 iptables 규칙은 노드 IP에서 이러한 포트의 특정 스토리지 IP로의 아웃바운드를 허용해야 합니다. 광범위한 "any-to-any" 규칙을 피하십시오.
-
인바운드 제한: 내부 Trident 포트를 클러스터 내부 트래픽으로 제한합니다(예: Calico와 같은 CNI 사용). 호스트 방화벽에서 불필요한 인바운드 노출이 없습니다.
-
프로토콜 보안:
-
가능한 경우 TCP를 사용하십시오(더 안정적임).
-
iSCSI의 보안이 중요한 경우 CHAP/IPsec을 활성화하고, 관리에는 TLS/HTTPS(포트 443/8443)를 사용하십시오.
-
NFSv4(Trident의 기본값)의 경우, 필요하지 않다면 UDP/이전 NFSv3 포트(예: 4045-4049)를 제거하십시오.
-
신뢰할 수 있는 서브넷으로 제한하고 Prometheus와 같은 도구를 사용하여 모니터링하십시오(선택 사항 포트 8001).
-
컨트롤러 노드용 포트
이 포트는 주로 Trident 운영자(백엔드 관리)를 위한 것입니다. 모든 내부 포트는 Pod 레벨이며, 호스트 방화벽이 CNI를 방해하는 경우에만 노드에서 허용합니다.
| 포트/프로토콜 | 방향 | 목적 | 드라이버/프로토콜 | 보안 참고 사항 |
|---|---|---|---|---|
TCP 8000 |
인바운드/아웃바운드(클러스터 내부) |
Trident REST 서버(operator-controller 통신) |
모두 |
Pod CIDR로 제한하고 외부 노출을 금지합니다. |
TCP 8443 |
인바운드/아웃바운드(클러스터 내부) |
백채널 HTTPS(보안 내부 API) |
모두 |
TLS로 암호화됨, Kubernetes 서비스 메시를 사용하는 경우 해당 서비스 메시로 제한됩니다. |
TCP 8001 |
인바운드(클러스터 내부, 선택 사항) |
Prometheus 메트릭 |
모두 |
모니터링 툴에만 노출(예: RBAC 사용), 사용하지 않을 경우 비활성화하십시오. |
TCP 443 |
아웃바운드 |
ONTAP SVM/클러스터 관리 LIF에 대한 HTTPS |
ONTAP(모두), ANF |
TLS 인증서 유효성 검사가 필요하며, 관리 LIF IP로만 제한합니다. |
TCP 8443 |
아웃바운드 |
E-Series 웹 서비스 프록시에 대한 HTTPS |
E-Series(iSCSI) |
기본 REST API, 인증서 사용, 백엔드 YAML에서 구성 가능. |
작업자 노드용 포트
이 포트는 CSI 노드 데몬셋 및 POD 마운트용입니다. 데이터 포트는 스토리지 데이터 LIF로 아웃바운드되며, NFSv3을 사용하는 경우 NFSv3 추가 항목을 포함합니다(NFSv4의 경우 선택 사항).
| 포트/프로토콜 | 방향 | 목적 | 드라이버/프로토콜 | 보안 참고 사항 |
|---|---|---|---|---|
TCP 17546 |
인바운드(포드에 대한 로컬) |
CSI 노드 활성/준비 프로브 |
모두 |
구성 가능(--probe-port), 호스트 충돌이 없는지 확인, 로컬 전용. |
TCP 8000 |
인바운드/아웃바운드(클러스터 내부) |
Trident REST 서버 |
모두 |
위와 같이, pod 내부입니다. |
TCP 8443 |
인바운드/아웃바운드(클러스터 내부) |
백채널 HTTPS |
모두 |
위와 같습니다. |
TCP 8001 |
인바운드(클러스터 내부, 선택 사항) |
Prometheus 메트릭 |
모두 |
위와 같습니다. |
TCP 443 |
아웃바운드 |
ONTAP SVM/클러스터 관리 LIF에 대한 HTTPS |
ONTAP(모두), ANF |
위와 같음, 검색에 사용됩니다. |
TCP 8443 |
아웃바운드 |
E-Series 웹 서비스 프록시에 대한 HTTPS |
E-Series(iSCSI) |
위와 같습니다. |
TCP/UDP 111 |
아웃바운드 |
RPCBIND/portmapper |
ONTAP-NAS(NFSv3/v4), ANF(NFS) |
v3에 필요하며, v4에서는 선택 사항입니다(방화벽 오프로드). NFSv4 전용을 사용하는 경우 제한하십시오. |
TCP/UDP 2049 |
아웃바운드 |
NFS 데몬 |
ONTAP-NAS(NFSv3/v4), ANF(NFS) |
핵심 데이터, 잘 알려진 데이터, 안정성을 위해 TCP를 사용합니다. |
TCP/UDP 635 |
아웃바운드 |
마운트 데몬 |
ONTAP-NAS(NFSv3/v4), ANF(NFS) |
마운팅, 양방향 콜백 가능(필요한 경우 인바운드 임시 허용). |
UDP 4045 |
아웃바운드 |
NFS 잠금 관리자(nlockmgr) |
ONTAP-NAS(NFSv3) |
파일 잠금, v4(pNFS 핸들)의 경우 건너뛰기, UDP 전용. |
UDP 4046 |
아웃바운드 |
NFS 상태 모니터(statd) |
ONTAP-NAS(NFSv3) |
알림, 콜백을 위해 인바운드 임시 포트(1024-65535)가 필요할 수 있습니다. |
UDP 4049 |
아웃바운드 |
NFS 할당량 데몬(rquotad) |
ONTAP-NAS(NFSv3) |
할당량, v4의 경우 건너뜁니다. |
TCP 3260 |
아웃바운드 |
iSCSI 타겟(검색/데이터/CHAP) |
ONTAP-SAN(iSCSI), E-Series(iSCSI) |
잘 알려진 기능입니다. 이 포트를 통한 CHAP 인증, 보안을 위해 상호 CHAP를 활성화하십시오. |
TCP 445 |
아웃바운드 |
SMB/CIFS |
ONTAP-NAS(SMB), ANF(SMB) |
잘 알려진 사실입니다. 암호화와 함께 SMB3 사용(Trident 주석 netapp.io/smb-encryption=true). |
TCP/UDP 88(선택 사항) |
아웃바운드 |
Kerberos 인증 |
ONTAP(Kerb를 사용하는 NFS/SMB/iSCSI) |
Kerberos를 사용하는 경우(기본값 아님), 스토리지 시스템이 아닌 AD 서버에 적용됩니다. |
TCP/UDP 389(선택 사항) |
아웃바운드 |
LDAP |
ONTAP(LDAP를 사용하는 NFS/SMB) |
유사, 이름 확인/인증의 경우 AD로 제한합니다. |
|
을 사용하여 설치하는 동안 활성/준비 프로브 포트를 변경할 수 있습니다 --probe-port 깃발. 이 포트가 작업자 노드의 다른 프로세스에서 사용되지 않도록 하는 것이 중요합니다.
|