设置防火墙规则以允许以下流量:
来源 |
目的地 |
端口 |
协议 |
说明 |
|---|---|---|---|---|
|
管理员集群控制层面节点 |
vCenter Server API |
443 |
TCP/https |
集群大小调整。 |
|
用户集群控制层面节点 |
vCenter Server API |
443 |
TCP/https |
集群大小调整。 |
|
Cloud Logging Collector,在管理员集群插件节点上运行 |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector,在管理员集群插件节点上运行 |
oauth2.googleapis.com Monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
管理员集群控制层面节点 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
用户集群控制层面节点 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
管理员集群控制层面节点 |
本地 Docker 注册表 |
具体取决于您的注册表 |
TCP/https |
如果将 GKE On-Prem 配置为使用本地私有 Docker 注册表(而非 gcr.io),则需要。 |
|
用户集群控制层面节点 |
本地 Docker 注册表 |
具体取决于您的注册表 |
TCP/https |
如果将 GKE On-Prem 配置为使用本地私有 Docker 注册表(而非 gcr.io),则需要。 |
|
管理员集群控制层面节点 |
gcr.io quay.io *.googleusercontent.com *.googleapis.com *.docker.io *.k8s.io |
443 |
TCP/https |
从公共 Docker 注册表下载映像。 如果使用私有 Docker 注册表,则不需要。 |
|
用户集群控制层面节点 |
gcr.io quay.io *.googleusercontent.com *.googleapis.com *.docker.io *.k8s.io |
443 |
TCP/https |
从公共 Docker 注册表下载映像。 如果使用私有 Docker 注册表,则不需要。 |
|
管理员集群工作器节点 |
管理员集群工作器节点 |
全部 |
179 - bgp 443 - https 5473 - Calico/Typha 9443 - Envoy 指标 10250 - kubelet 节点端口 |
所有工作器节点必须是第 2 层相邻节点,并且没有任何防火墙。 |
|
管理员集群工作器节点 |
用户集群节点 |
22 |
ssh |
API 服务器通过 SSH 隧道与 kubelet 进行的通信。 |
|
用户集群工作器节点 |
管理员工作站 Docker 注册表 |
|||
|
用户集群工作器节点 |
gcr.io quay.io *.googleusercontent.com *.googleapis.com *.docker.io *.k8s.io |
443 |
TCP/https |
从公共 Docker 注册表下载映像。 如果使用私有 Docker 注册表,则不需要。 |
|
用户集群工作器节点 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
用户集群工作器节点 |
在管理员集群中运行的 pushprox 服务器的 VIP。 |
8443 |
TCP/https |
Prometheus 流量。 |
|
用户集群工作器节点 |
用户集群工作器节点 |
全部 |
22 - ssh 179 - bgp 443 - https 5473 - calico-typha 9443 - envoy 指标 10250 - kubelet 节点端口 |
所有工作器节点必须是第 2 层相邻节点,并且没有任何防火墙。 |
|
管理员集群 pod CIDR |
管理员集群 pod CIDR |
全部 |
任何 |
pod 之间的流量直接通过 pod CIDR 进行 L2 转发。无叠加。 |
|
管理员集群节点 |
管理员集群 pod CIDR |
全部 |
任何 |
外部流量在第一个节点上进行 SNAT,并发送到 pod IP 地址。 |
|
管理员集群 pod CIDR |
管理员集群节点 |
全部 |
任何 |
外部流量的返回流量。 |
|
用户集群 pod CIDR |
用户集群 pod CIDR |
全部 |
任何 |
pod 之间的流量直接通过 pod CIDR 进行 L2 转发。无叠加。 |
|
用户集群节点 |
用户集群 pod CIDR |
全部 |
任何 |
外部流量在第一个节点上进行 SNAT,并发送到 pod IP 地址。 |
|
用户集群 pod CIDR |
用户集群节点 |
全部 |
任何 |
外部流量的返回流量。 |
|
Connect Agent,在随机用户集群工作器节点上运行。 |
gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com oauth2.googleapis.com accounts.google.com |
443 |
TCP/https |
Connect 流量。 |
|
Cloud Logging Collector,在随机用户集群工作器节点上运行 |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector,在随机用户集群工作器节点上运行 |
oauth2.googleapis.com Monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
作为应用最终用户的客户端 |
Istio Ingress 的 VIP |
80, 443 |
TCP |
进入用户集群的 Ingress 服务的最终用户流量。 |
|
部署管理员工作站的 Jump 服务器 |
checkpoint-api.hashicorp.com releases.hashicorp.com vCenter Server API 目标集群中主机的 ESXi VMkernel (mgt) IP |
443 |
TCP/https |
管理员工作站的 Terraform 部署。 |
|
管理员工作站 |
gcr.io quay.io *.googleusercontent.com *.googleapis.com *.docker.io *.k8s.io" |
443 |
TCP/https |
从公共 Docker 注册表下载 Docker 映像。 |
|
管理员工作站 |
vCenter Server API F5 BIG-IP API |
443 |
TCP/https |
集群引导 |
|
管理员工作站 |
目标集群中主机的 ESXi VMkernel (mgt) IP |
443 |
TCP/https |
管理员工作站通过 ESXi 主机将 OVA 上传到数据存储区 |
|
管理员工作站 |
管理员集群控制层面虚拟机的节点 IP 地址 |
443 |
TCP/https |
集群引导 |
|
管理员工作站 |
管理员集群的 Kubernetes API 服务器的 VIP 用户集群的 Kubernetes API 服务器的 VIP |
443 |
TCP/https |
集群引导 用户集群删除 |
|
管理员工作站 |
管理员集群控制层面节点和工作器节点 |
443 |
TCP/https |
集群引导 控制层面升级 |
|
管理员工作站 |
所有管理员集群节点和所有用户集群节点 |
443 |
TCP/https |
作为 |
|
管理员工作站 |
管理员集群的 Istio Ingress 的 VIP 用户集群的 Istio Ingress 的 VIP |
443 |
TCP/https |
作为 |
|
F5 Self-IP |
所有管理员集群节点和所有用户集群节点 |
30000 - 32767 |
任何 |
适用于 F5 BIG-IP 通过虚拟服务器 VIP 负载平衡到 Kubernetes 集群节点上的节点端口的数据层面流量。 通常,F5 self-ip 与 Kubernetes 集群节点位于同一网络/子网上。 |