Questa pagina mostra come configurare le regole proxy e firewall per Cluster Anthos on bare metal.
Configura il server proxy
Se le macchine che utilizzi per il bootstrap e i nodi del cluster utilizzano un server proxy per accedere a Internet, devi:
- Configura il proxy per il gestore di pacchetti sui nodi del cluster
- Configura i dettagli del proxy nel file di configurazione del cluster.
Prerequisiti
Il tuo server proxy deve consentire le connessioni ai seguenti indirizzi:
| Indirizzo | Finalità |
|---|---|
*.gcr.io |
Esegui il pull delle immagini da Container Registry. |
accounts.google.com |
Elabora le richieste di autorizzazione per OpenID e scopri le chiavi pubbliche per verificare i token. |
cloudresourcemanager.googleapis.com |
Risolvi i metadati relativi al progetto Google Cloud a cui è connesso il cluster. |
compute.googleapis.com |
Verifica la regione delle risorse di Cloud Logging e Cloud Monitoring. |
connectgateway.googleapis.com |
Abilita la possibilità di concedere all'assistenza clienti Cloud l'accesso di sola lettura al tuo cluster per diagnosticare i problemi. |
dl.fedoraproject.org |
Installa pacchetti extra per Enterprise Linux (EPEL) quando utilizzi le distribuzioni Red Hat Enterprise Linux (RHEL). |
download.docker.com |
Aggiungi repository Docker. Questa operazione è necessaria se esegui la workstation di amministrazione dietro un proxy. |
gkeconnect.googleapis.com |
Definisci il canale utilizzato per ricevere le richieste da Google Cloud e invia le risposte. |
gkehub.googleapis.com |
Crea risorse di appartenenza al flotto di Google Cloud che corrispondono al cluster che stai connettendo a Google Cloud. |
gkeonprem.googleapis.com |
Crea e gestisci il ciclo di vita del cluster su Bare Metal e l'infrastruttura VMware. |
gkeonprem.mtls.googleapis.com |
Crea e gestisci il ciclo di vita del cluster su Bare Metal e l'infrastruttura VMware. Questa versione dell'API viene utilizzata automaticamente con mTLS. |
iam.googleapis.com |
Creare account di servizio da utilizzare per l'autenticazione in Google Cloud ed effettuare chiamate API. |
iamcredentials.googleapis.com |
Fornisce controllo di ammissione e report di telemetria per l'audit logging. |
logging.googleapis.com |
Scrivi le voci di log e gestisci la configurazione di Cloud Logging. |
monitoring.googleapis.com |
Gestire dati e configurazioni di Cloud Monitoring. |
packages.cloud.google.com |
Scaricare pacchetti dal mirroring del pacchetto Google Cloud. |
oauth2.googleapis.com |
Autenticazione tramite scambio di token OAuth per l'accesso all'account. |
opsconfigmonitoring.googleapis.com |
Raccogli metadati per le risorse Kubernetes come pod, deployment o nodi per arricchire le query sulle metriche. |
securetoken.googleapis.com |
Recupera i token di aggiornamento per l'autorizzazione di Workload Identity. |
servicecontrol.googleapis.com |
Scrivi le voci degli audit log in Cloud Audit Logs. |
serviceusage.googleapis.com |
Abilita e convalida servizi e API. |
stackdriver.googleapis.com |
Gestire i metadati della suite operativa di Google Cloud, ad esempio gli account Stackdriver. |
storage.googleapis.com |
Gestire l'archiviazione e i bucket di oggetti, ad esempio gli oggetti di Container Registry. |
sts.googleapis.com |
Scambia credenziali Google o di terze parti con un token di accesso di breve durata alle risorse Google Cloud. |
www.googleapis.com |
Autentica i token di servizio dalle richieste di servizio Google Cloud in entrata. |
Oltre a questi URL, il server proxy deve consentire anche qualsiasi mirroring del pacchetto richiesto dal gestore di pacchetti del tuo sistema operativo. Puoi aggiornare la configurazione del gestore di pacchetti per utilizzare un elenco più deterministico, che risulta più facile da gestire.
Configura il proxy per il gestore di pacchetti sui nodi del cluster
Cluster Anthos on bare metal utilizza il gestore di pacchetti APT su Ubuntu e il gestore di pacchetti DNF su CentOS e Red Hat Linux. Assicurati che il gestore di pacchetti del sistema operativo abbia la configurazione proxy corretta.
Per informazioni dettagliate sulla configurazione del proxy, consulta la documentazione della distribuzione del tuo sistema operativo. I seguenti esempi mostrano un modo per configurare le impostazioni proxy:
APT
Questi comandi mostrano come configurare il proxy per APT:
sudo touch /etc/apt/apt.conf.d/proxy.confecho 'Acquire::http::Proxy "http://[username:password@]domain";' \ >> /etc/apt/apt.conf.d/proxy.confecho 'Acquire::https::Proxy "http://[username:password@]domain";' \ >> /etc/apt/apt.conf.d/proxy.conf
Sostituisci [username:password@]domain con i dettagli specifici della tua configurazione.
Non disturbare
Questo comando mostra come configurare il proxy per DNF:
echo "proxy=http://[username:password@]domain" >> /etc/dnf/dnf.conf
Sostituisci [username:password@]domain con i dettagli specifici della tua configurazione.
Configura i dettagli del proxy nel file di configurazione del cluster
Nel file di configurazione del cluster, imposta i seguenti valori per configurare il cluster in modo che utilizzi il proxy:
proxy.url
Una stringa che specifica l'URL del proxy. Le macchine nodo e bootstrap utilizzano questo proxy per accedere a Internet. La stringa dell'URL del proxy deve iniziare con lo schema, ad esempio "http://" o "https://".
proxy.noProxy
Un elenco di indirizzi IP, nomi host e nomi di dominio che non devono passare attraverso il server proxy.
Nella maggior parte dei casi, non è necessario aggiungere articoli a questo elenco.
noProxy casi d'uso:
Utilizzare un mirroring pacchetto privato, che si trova nella stessa rete privata (non è necessario il proxy per accedere)
usando un mirroring del registro privato, che si trova nella stessa rete privata (non è necessario il proxy per accedere)
Esempio
Ecco un esempio delle impostazioni del proxy in un file di configurazione del cluster:
proxy:
url: http://[username:password@]domain
noProxy:
- example1.com
- example2.com
Come viene utilizzato il proxy all'interno del cluster
Come regola generale, i comandi bmctl e i processi che generano utilizzano la configurazione proxy definita dalle variabili di ambiente HTTPS_PROXY e NO_PROXY, se sono definite. In caso contrario, bmctl utilizza la configurazione proxy del file di configurazione del cluster. Altri comandi che vengono eseguiti sulla workstation di amministrazione, sulle macchine dei nodi del cluster o dal cluster di bootstrap utilizzano la configurazione proxy dal file di configurazione del cluster.
Il gestore di pacchetti del sistema operativo su ciascun nodo utilizza i propri file di configurazione per le impostazioni proxy.
Esegui l'override della configurazione proxy nella macchina bootstrap
Puoi eseguire la workstation di amministrazione dietro un proxy diverso da quello utilizzato dalle macchine nodo eseguendo l'override delle impostazioni del proxy nel file di configurazione del cluster. Per eseguire l'override delle impostazioni del proxy, imposta le seguenti variabili di ambiente sulla macchina bootstrap:
export HTTPS_PROXY=http://[username:password@]domain
Sostituisci [username:password@]domain con i dettagli specifici della tua configurazione.
export NO_PROXY=example1.com,example2.com
Sostituisci example1.com,example2.com con indirizzi IP, nomi host e nomi di dominio che non devono passare attraverso il server proxy.
Effetti collaterali
Se eseguito come root, bmctl aggiorna la configurazione del proxy Docker sulla macchina di avvio. Se non esegui bmctl come root, configura manualmente il proxy Docker.
Regole del firewall
Configura le regole firewall come descritto nelle seguenti sezioni per consentire il traffico descritto necessario per i cluster Anthos su Bare Metal.
Per i requisiti della porta prerequisiti per Cluster Anthos on bare metal, consulta Utilizzo delle porte.
Regole firewall per gli indirizzi IP dei nodi del cluster
La tabella seguente descrive le regole del firewall per gli indirizzi IP disponibili nei cluster.
Da |
Porta di origine |
To |
Porta |
Protocollo |
Descrizione |
|---|---|---|---|---|---|
| Nodo cluster | 1024 - 65535 | cloudresourcemanager.googleapis.comgkeconnect.googleapis.comgkehub.googleapis.com |
443 | TCP/HTTPS | È richiesto l'accesso per la registrazione del parco risorse. |
| Raccoglitore Cloud Logging, che viene eseguito sul nodo cluster | 1024 - 65535 | oauth2.googleapis.comlogging.googleapis.comstackdriver.googleapis.comservicecontrol.googleapis.comstorage.googleapis.comwww.googleapis.com |
443 | TCP/HTTPS | |
| Raccoglitore metadati Cloud, in esecuzione sul nodo cluster | 1024 - 65535 | opsconfigmonitoring.googleapis.com |
443 | TCP/HTTPS | |
| Raccoglitore Cloud Monitoring in esecuzione sul nodo cluster | 1024 - 65535 | oauth2.googleapis.commonitoring.googleapis.comstackdriver.googleapis.comservicecontrol.googleapis.com |
443 | TCP/HTTPS | |
| Nodo cluster | 1024 - 65535 | Registro Docker locale on-premise | Dipende dal registro | TCP/HTTPS | Obbligatorio se i cluster Anthos su Bare Metal sono configurati per utilizzare un registro Docker privato locale anziché gcr.io. |
| Nodo cluster | 1024 - 65535 | gcr.iooauth2.googleapis.comstorage.googleapis.comQualsiasi URL dell'API Google nel formato *.googleapis.com richiesto per i servizi abilitati per il cluster di amministrazione. |
443 | TCP/HTTPS | Scarica immagini dai registri Docker pubblici. Non è obbligatorio se utilizzi un registro Docker privato. |
| Connetti agente in esecuzione su un nodo cluster | 1024 - 65535 | cloudresourcemanager.googleapis.comgkeconnect.googleapis.comgkehub.googleapis.comwww.googleapis.comiam.googleapis.comiamcredentials.googleapis.comoauth2.googleapis.comsecuretoken.googleapis.comsts.googleapis.comaccounts.google.com |
443 | TCP/HTTPS | Per ulteriori informazioni sul traffico gestito dall'agente Connect, consulta la panoramica sull'agente Connect. |
| Nodo cluster | 1024 - 65535 |
gkeonprem.googleapis.comgkeonprem.mtls.googleapis.com |
443 | TCP/HTTPS | Crea e gestisci il ciclo di vita del cluster su Bare Metal e l'infrastruttura VMware. |
Regole firewall per i componenti rimanenti
Le regole descritte nella tabella seguente si applicano a tutti gli altri componenti non elencati nella sezione precedente.
Da |
Porta di origine |
To |
Porta |
Protocollo |
Descrizione |
|---|---|---|---|---|---|
| Client e utenti finali dell'applicazione | Tutte | VIP di Istio in entrata | 80, 443 | TCP | Traffico degli utenti finali verso il servizio in entrata di un cluster utente. |
| Workstation di amministrazione | 32.768-60.999 | gcr.iocloudresourcemanager.googleapis.comoauth2.googleapis.comstorage.googleapis.comQualsiasi URL *.googleapis.com richiesto per i servizi abilitati per questo cluster |
443 | TCP/HTTPS | Scarica le immagini Docker dai registri Docker pubblici. |
| Workstation di amministrazione | 32.768-60.999 | gcr.iocloudresourcemanager.googleapis.comiam.googleapis.comoauth2.googleapis.comserviceusage.googleapis.comstorage.googleapis.comQualsiasi *.googleapis.com URL richiesto per i servizi abilitati per i cluster amministratore o utente |
443 | TCP/HTTPS | Controlli preflight (convalida). |