防火墙规则

设置防火墙规则以允许以下流量:

来源

目的地

端口

协议

说明

管理员集群控制层面节点

vCenter Server API

443

TCP/https

集群大小调整。

用户集群控制层面节点

vCenter Server API

443

TCP/https

集群大小调整。

Cloud Logging Collector,在管理员集群插件节点上运行

oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Cloud Monitoring Collector,在管理员集群插件节点上运行

oauth2.googleapis.com
Monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

管理员集群控制层面节点

F5 BIG-IP API

443

TCP/https

用户集群控制层面节点

F5 BIG-IP API

443

TCP/https

管理员集群控制层面节点

本地 Docker 注册表

具体取决于您的注册表

TCP/https

如果将 GKE On-Prem 配置为使用本地私有 Docker 注册表(而非 gcr.io),则需要。

用户集群控制层面节点

本地 Docker 注册表

具体取决于您的注册表

TCP/https

如果将 GKE On-Prem 配置为使用本地私有 Docker 注册表(而非 gcr.io),则需要。

管理员集群控制层面节点

gcr.io
quay.io
*.googleusercontent.com
*.googleapis.com
*.docker.io
*.k8s.io

443

TCP/https

从公共 Docker 注册表下载映像。

如果使用私有 Docker 注册表,则不需要。

用户集群控制层面节点

gcr.io
quay.io
*.googleusercontent.com
*.googleapis.com
*.docker.io
*.k8s.io
443

TCP/https

从公共 Docker 注册表下载映像。

如果使用私有 Docker 注册表,则不需要。

管理员集群工作器节点

管理员集群工作器节点

全部

179 - bgp

443 - https

5473 - Calico/Typha

9443 - Envoy 指标

10250 - kubelet 节点端口

所有工作器节点必须是第 2 层相邻节点,并且没有任何防火墙。

管理员集群工作器节点

用户集群节点

22

ssh

API 服务器通过 SSH 隧道与 kubelet 进行的通信。

用户集群工作器节点

管理员工作站 Docker 注册表

用户集群工作器节点

gcr.io
quay.io
*.googleusercontent.com
*.googleapis.com
*.docker.io
*.k8s.io

443

TCP/https

从公共 Docker 注册表下载映像。

如果使用私有 Docker 注册表,则不需要。

用户集群工作器节点

F5 BIG-IP API

443

TCP/https

用户集群工作器节点

在管理员集群中运行的 pushprox 服务器的 VIP。

8443

TCP/https

Prometheus 流量。

用户集群工作器节点

用户集群工作器节点

全部

22 - ssh

179 - bgp

443 - https

5473 - calico-typha

9443 - envoy 指标

10250 - kubelet 节点端口

所有工作器节点必须是第 2 层相邻节点,并且没有任何防火墙。

管理员集群 pod CIDR

管理员集群 pod CIDR

全部

任何

pod 之间的流量直接通过 pod CIDR 进行 L2 转发。无叠加。

管理员集群节点

管理员集群 pod CIDR

全部

任何

外部流量在第一个节点上进行 SNAT,并发送到 pod IP 地址。

管理员集群 pod CIDR

管理员集群节点

全部

任何

外部流量的返回流量。

用户集群 pod CIDR

用户集群 pod CIDR

全部

任何

pod 之间的流量直接通过 pod CIDR 进行 L2 转发。无叠加。

用户集群节点

用户集群 pod CIDR

全部

任何

外部流量在第一个节点上进行 SNAT,并发送到 pod IP 地址。

用户集群 pod CIDR

用户集群节点

全部

任何

外部流量的返回流量。

Connect Agent,在随机用户集群工作器节点上运行。

gkeconnect.googleapis.com
gkehub.googleapis.com
www.googleapis.com
oauth2.googleapis.com
accounts.google.com

443

TCP/https

Connect 流量。

Cloud Logging Collector,在随机用户集群工作器节点上运行

oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Cloud Monitoring Collector,在随机用户集群工作器节点上运行

oauth2.googleapis.com
Monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

作为应用最终用户的客户端

Istio Ingress 的 VIP

80, 443

TCP

进入用户集群的 Ingress 服务的最终用户流量。

部署管理员工作站的 Jump 服务器

checkpoint-api.hashicorp.com
releases.hashicorp.com
vCenter Server API
目标集群中主机的 ESXi VMkernel (mgt) IP

443

TCP/https

管理员工作站的 Terraform 部署。

管理员工作站

gcr.io
quay.io
*.googleusercontent.com
*.googleapis.com
*.docker.io
*.k8s.io"

443

TCP/https

从公共 Docker 注册表下载 Docker 映像。

管理员工作站

vCenter Server API

F5 BIG-IP API

443

TCP/https

集群引导

管理员工作站

目标集群中主机的 ESXi VMkernel (mgt) IP

443

TCP/https

管理员工作站通过 ESXi 主机将 OVA 上传到数据存储区

管理员工作站

管理员集群控制层面虚拟机的节点 IP 地址

443

TCP/https

集群引导

管理员工作站

管理员集群的 Kubernetes API 服务器的 VIP

用户集群的 Kubernetes API 服务器的 VIP

443

TCP/https

集群引导

用户集群删除

管理员工作站

管理员集群控制层面节点和工作器节点

443

TCP/https

集群引导

控制层面升级

管理员工作站

所有管理员集群节点和所有用户集群节点

443

TCP/https

作为 gkectl check-config 命令的一部分的网络验证。

管理员工作站

管理员集群的 Istio Ingress 的 VIP

用户集群的 Istio Ingress 的 VIP

443

TCP/https

作为 gkectl check-config 命令的一部分的网络验证。

F5 Self-IP

所有管理员集群节点和所有用户集群节点

30000 - 32767

任何

适用于 F5 BIG-IP 通过虚拟服务器 VIP 负载平衡到 Kubernetes 集群节点上的节点端口的数据层面流量。

通常,F5 self-ip 与 Kubernetes 集群节点位于同一网络/子网上。