オーバーレイネットワークを使用するコンテナを保護するためにバージョン11.2以降のエージェントを使用している場合は、SwarmまたはKubernetesサービスのネットワークトラフィックを許可するファイアウォールルールを追加する必要がある場合があります。
Kubernetesファイアウォールルール
Kubernetesを使用している場合、ファイアウォールでk8s通信トラフィックを通過させてサービストラフィックを送受信できるようにするには、次のルールを追加します。
|
名前
|
処理の種類
|
優先度
|
方向
|
フレームの種類
|
プロトコル
|
送信元IP
|
送信元ポート
|
送信先IP
|
送信先ポート
|
|
HTTP受信TCP 80送信先ポート
|
強制的に許可
|
0 - 最低
|
外部受信
|
IPアドレス
|
TCP
|
任意
|
該当なし
|
任意
|
80
|
|
HTTP送信TCP 80送信元ポート
|
強制的に許可
|
0 - 最低
|
外部送信
|
IPアドレス
|
TCP
|
任意
|
80
|
任意
|
任意
|
|
K8s受信TCP 10054ポート
|
強制的に許可
|
0 - 最低
|
外部受信
|
IPアドレス
|
TCP
|
任意
|
任意
|
任意
|
10054
|
|
K8s送信TCP 10054ポート
|
強制的に許可
|
0 - 最低
|
外部送信
|
IPアドレス
|
TCP
|
任意
|
任意
|
任意
|
10054
|
|
K8s送信TCP 443ポート
|
強制的に許可
|
0 - 最低
|
外部送信
|
IPアドレス
|
TCP
|
任意
|
任意
|
任意
|
443
|
|
K8s送信TCP 6443ポート
|
強制的に許可
|
0 - 最低
|
外部受信
|
IPアドレス
|
TCP
|
任意
|
任意
|
任意
|
6443
|
|
K8s送信TCP 6443ポート
|
強制的に許可
|
0 - 最低
|
外部送信
|
IPアドレス
|
TCP
|
任意
|
任意
|
任意
|
6443
|
|
K8s送信TCP 8081ポート
|
強制的に許可
|
0 - 最低
|
外部受信
|
IPアドレス
|
TCP
|
任意
|
任意
|
任意
|
8081
|
|
K8s送信TCP 8081ポート
|
強制的に許可
|
0 - 最低
|
外部送信
|
IPアドレス
|
TCP
|
任意
|
任意
|
任意
|
8081
|
|
K8s送信UDP 8472ポート
|
強制的に許可
|
0 - 最低
|
外部送信
|
IPアドレス
|
UDP
|
任意
|
任意
|
任意
|
8472
|
|
K8s送信UDP 8285ポート
|
強制的に許可
|
0 - 最低
|
外部送信
|
IPアドレス
|
UDP
|
任意
|
任意
|
任意
|
8285
|
|
K8s送信UDP 8285ポート
|
強制的に許可
|
0 - 最低
|
外部受信
|
IPアドレス
|
UDP
|
任意
|
任意
|
任意
|
8285
|
Swarmファイアウォールルール
Swarmを使用している場合、ファイアウォールでk8s通信トラフィックを通過させてサービストラフィックを送受信できるようにするには、次のルールを追加します。
|
名前
|
処理の種類
|
優先度
|
方向
|
フレームの種類
|
プロトコル
|
送信元IP
|
送信元ポート
|
送信先IP
|
送信先ポート
|
|
HTTP受信TCP 80送信先ポート
|
強制的に許可
|
0 - 最低
|
外部受信
|
IPアドレス
|
TCP
|
任意
|
該当なし
|
任意
|
80
|
|
HTTP送信TCP 80送信元ポート
|
強制的に許可
|
0 - 最低
|
外部送信
|
IPアドレス
|
TCP
|
任意
|
80
|
任意
|
任意
|
|
Swarm送信TCP 443ポート
|
強制的に許可
|
0 - 最低
|
外部送信
|
IPアドレス
|
TCP
|
任意
|
任意
|
任意
|
443
|
|
Swarm受信TCP 2377、4789、7946、60012ポート
|
強制的に許可
|
0 - 最低
|
外部受信
|
IPアドレス
|
TCP+UDP
|
任意
|
任意
|
任意
|
2377、4789、7946、60012
|
|
Swarm送信TCP 2377、4789、7946、60012ポート
|
強制的に許可
|
0 - 最低
|
外部送信
|
IPアドレス
|
TCP+UDP
|
任意
|
2377、4789、7946、60012
|
任意
|
任意
|