Instalar por trás de um proxy

Se as máquinas usadas para executar os nós de inicialização e de cluster usarem um servidor proxy para acessar a Internet, será necessário:

  • configurar o proxy para o gerenciador de pacotes nos nós do cluster;
  • configurar os detalhes do proxy no arquivo de configuração do cluster.

Pré-requisitos

O servidor proxy precisa permitir conexões com estes endereços:

Endereço Finalidade
*.gcr.io Extraia imagens do Container Registry.
accounts.google.com Processe solicitações de autorização para o OpenID e descubra chaves públicas para verificação de tokens.
cloudresourcemanager.googleapis.com Resolve os metadados referentes ao projeto do Google Cloud a que o cluster está sendo conectado.
compute.googleapis.com Verifique a região de recursos do Cloud Logging e do Cloud Monitoring.
dl.fedoraproject.org Instale Pacotes extras para o Enterprise Linux (EPEL) ao usar distribuições do Red Hat Enterprise Linux (RHEL).
download.docker.com Adicione o repositório do Docker. Isso é necessário se você executar a estação de trabalho do administrador atrás do proxy. Ele é necessário para máquinas de nós que são executadas por trás de um proxy quando o Docker é usado para o ambiente de execução do contêiner.
gkeconnect.googleapis.com Estabelece o canal usado para receber solicitações do Google Cloud e envia respostas.
gkehub.googleapis.com Criar recursos de assinatura do hub do Google Cloud que correspondam ao cluster que você está conectando ao Google Cloud.
iam.googleapis.com Crie contas de serviço que possam ser usadas para autenticar no Google Cloud e fazer chamadas de API.
iamcredentials.googleapis.com Oferece controle de admissão e geração de relatórios de telemetria para a geração de registros de auditoria.
logging.googleapis.com Grave entradas de registro e gerencie sua configuração do Cloud Logging.
monitoring.googleapis.com Gerencia dados e configurações do Cloud Monitoring.
packages.cloud.google.com Faça o download de pacotes no espelho de pacotes do Google Cloud.
oauth2.googleapis.com Autenticar por meio de troca de token OAuth para acesso à conta.
opsconfigmonitoring.googleapis.com Colete metadados de recursos do Kubernetes, como pods, implantações ou nós, para enriquecer consultas de métricas.
securetoken.googleapis.com Recupere tokens de atualização para autorização da identidade da carga de trabalho.
servicecontrol.googleapis.com Gravar entradas de registro de auditoria nos Registros de auditoria do Cloud.
serviceusage.googleapis.com Ativar e validar serviços e APIs.
stackdriver.googleapis.com Gerencie os metadados do conjunto de operações do Google Cloud, como as contas do Stackdriver.
storage.googleapis.com Gerencie o armazenamento e os intervalos de objetos, como objetos Container Registry.
sts.googleapis.com Trocar as credenciais do Google ou de terceiros por um token de acesso de curta duração aos recursos do Google Cloud
www.googleapis.com Autentica os tokens de serviço das solicitações de serviço recebidas do Google Cloud.

Além desses URLs, o servidor proxy também precisa permitir todos os espelhos de pacotes exigidos pelo gerenciador de pacotes do sistema operacional. É possível atualizar a configuração do gerenciador de pacotes para usar uma lista mais determinística, que é mais fácil de gerenciar.

configurar o proxy para o gerenciador de pacotes nos nós do cluster;

O Anthos em bare metal usa o gerenciador de pacotes APT no Ubuntu e o gerenciador de pacotes DNF no CentOS e Red Hat Linux. Verifique se o gerenciador de pacotes do SO tem a configuração de proxy correta.

Consulte a documentação de distribuição do sistema operacional para obter os detalhes sobre como configurar o proxy. Os exemplos a seguir mostram uma maneira de definir as configurações de proxy:

APT

Estes comandos demonstram como configurar o proxy para APT:

sudo touch /etc/apt/apt.conf.d/proxy.conf
echo 'Acquire::http::Proxy "http://[username:password@]domain";' >> /etc/apt/apt.conf.d/proxy.conf
echo 'Acquire::https::Proxy "http://[username:password@]domain";' >> /etc/apt/apt.conf.d/proxy.conf

Substitua [username:password@]domain por detalhes específicos da sua configuração.

DNF

Este comando demonstra como configurar o proxy para DNF:

echo "proxy=http://[username:password@]domain" >> /etc/dnf/dnf.conf

Substitua [username:password@]domain por detalhes específicos da sua configuração.

Configurar os detalhes do proxy no arquivo de configuração do cluster

No arquivo de configuração do cluster, defina os valores a seguir para configurar o cluster para usar o proxy:

proxy.url

Uma string que especifica o URL do proxy. As máquinas de inicialização e de nó usam esse proxy para acessar a Internet.

proxy.noProxy

Uma lista de endereços IP, nomes de host e nomes de domínio que não devem passar pelo servidor proxy.

Na maioria dos casos, você não precisa adicionar itens a essa lista. Não adicione CIDR de serviço e pod.

Casos de uso noProxy:

  • Usando um espelho de pacote particular, localizado na mesma rede privada (não precisa de proxy para acessar)

  • Usando um espelho de registro privado, localizado na mesma rede privada (não é necessário ter proxy para acessar)

Exemplo

Veja abaixo um exemplo de configuração de proxy em um arquivo de configuração de cluster:

  proxy:
     url: http://[username:password@]domain
     noProxy:
     - example1.com
     - example2.com

Modificar a configuração de proxy

É possível executar sua máquina de inicialização por trás de um proxy diferente daquele usado por suas máquinas de nó substituindo as configurações de proxy no arquivo de configuração do cluster. Para modificar as configurações de proxy, defina as seguintes variáveis de ambiente na máquina de inicialização:

export HTTPS_PROXY=http://[username:password@]domain

Substitua [username:password@]domain por detalhes específicos da sua configuração.

export NO_PROXY=example1.com,example2.com

Substitua example1.com,example2.com por endereços IP, nomes de host e nomes de domínio que não podem passar pelo servidor proxy.

Efeitos colaterais

Se executado como raiz, o bmctl atualiza a configuração do proxy do Docker na máquina de inicialização. Caso você não execute o bmctl como raiz, configure o proxy do Docker manualmente.

Regras de firewall

Configure as regras de firewall conforme descrito nas seções a seguir para permitir o tráfego descrito necessário para clusters do Anthos em Bare Metal.

Para ver os requisitos de porta de clusters do Anthos em Bare Metal, consulte Uso da porta.

Regras de firewall para endereços IP de nós do cluster

Veja na tabela a seguir as regras de firewall para endereços IP disponíveis nos clusters.

De

Porta de origem

To

Porta

Protocolo

Descrição

Nó do cluster 1024 - 65535 cloudresourcemanager.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
443 TCP/HTTPS É necessário acesso para registrar o hub.
Coletor do Cloud Logging, que é executado no nó do cluster 1024 - 65535 oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com
storage.googleapis.com
www.googleapis.com
443 TCP/HTTPS
Coletor de metadados do Cloud, que é executado no nó do cluster 1024 - 65535 opsconfigmonitoring.googleapis.com 443 TCP/HTTPS
Coletor do Cloud Monitoring, que é executado no nó do cluster 1024 - 65535 oauth2.googleapis.com
monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com
443 TCP/HTTPS
Nó do cluster 1024 - 65535 Registro local do Docker Depende do registro TCP/HTTPS Obrigatório se os clusters do Anthos em Bare Metal estiverem configurados para usar um registro particular local do Docker em vez de gcr.io.
Nó do cluster 1024 - 65535 gcr.io
oauth2.googleapis.com
storage.googleapis.com
Qualquer URL da API do Google no formato *.googleapis.com obrigatório para a serviços ativados para o cluster de administrador.
443 TCP/HTTPS Faz o download de imagens de registros públicos do Docker. Não é necessário se você estiver usando um registro particular do Docker.
Agente do Connect, que é executado em um nó do cluster. 1024 - 65535 cloudresourcemanager.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
www.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
oauth2.googleapis.com
securetoken.googleapis.com
sts.googleapis.com
accounts.google.com
443 TCP/HTTPS [Conecte o tráfego](/anthos/multicluster-management/connect).

Regras de firewall para os componentes restantes

As regras descritas na tabela a seguir se aplicam a todos os outros componentes não listados na seção anterior.

De

Porta de origem

To

Porta

Protocolo

Descrição

Clientes e usuários finais do aplicativo Tudo VIP da entrada do Istio 80, 443 TCP Tráfego de usuário final para o serviço de entrada de um cluster de usuário.
Estação de trabalho do administrador 32768 - 60999 gcr.io
cloudresourcemanager.googleapis.com
oauth2.googleapis.com
storage.googleapis.com
Qualquer URL *.googleapis.com obrigatório para os serviços ativados para este cluster
443 TCP/HTTPS Faz o download de imagens do Docker a partir de registros públicos do Docker.
Estação de trabalho do administrador 32768 - 60999 gcr.io
cloudresourcemanager.googleapis.com
iam.googleapis.com
oauth2.googleapis.com
serviceusage.googleapis.com
storage.googleapis.com
Qualquer URL *.googleapis.com necessário para os serviços ativados para os clusters de administrador ou usuário
443 TCP/HTTPS Verificações de simulação (validação).