Configurez vos règles de pare-feu pour autoriser le trafic suivant :
De |
À |
Port |
Protocole |
Description |
|---|---|---|---|---|
|
Nœud du plan de contrôle du cluster d'administrateur |
API du serveur vCenter |
443 |
TCP/https |
Redimensionnement du cluster |
|
Nœud du plan de contrôle du cluster d'utilisateur |
API du serveur vCenter |
443 |
TCP/https |
Redimensionnement du cluster |
|
Cloud Logging Collector, qui s'exécute sur un nœud de module complémentaire de cluster d'administrateur |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector, qui s'exécute sur un nœud de module complémentaire de cluster d'administrateur |
oauth2.googleapis.com Monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
Nœud du plan de contrôle du cluster d'administrateur |
API F5 BIG-IP |
443 |
TCP/https |
|
|
Nœud du plan de contrôle du cluster d'utilisateur |
API F5 BIG-IP |
443 |
TCP/https |
|
|
Nœud du plan de contrôle du cluster d'administrateur |
Registre Docker local sur site |
Dépend de votre registre |
TCP/https |
Obligatoire si GKE On-Prem est configuré pour utiliser un registre Docker privé local au lieu de gcr.io. |
|
Nœud du plan de contrôle du cluster d'utilisateur |
Registre Docker local sur site |
Dépend de votre registre |
TCP/https |
Obligatoire si GKE On-Prem est configuré pour utiliser un registre Docker privé local au lieu de gcr.io. |
|
Nœud du plan de contrôle du cluster d'administrateur |
gcr.io quay.io *.googleusercontent.com *.googleapis.com *.docker.io *.k8s.io |
443 |
TCP/https |
Téléchargez des images à partir de registres Docker publics. Non requis si vous utilisez un registre Docker privé. |
|
Nœud du plan de contrôle du cluster d'utilisateur |
gcr.io quay.io *.googleusercontent.com *.googleapis.com *.docker.io *.k8s.io |
443 |
TCP/https |
Téléchargez des images à partir de registres Docker publics. Non requis si vous utilisez un registre Docker privé. |
|
Nœuds de calcul de cluster d'administrateur |
Nœuds de calcul de cluster d'administrateur |
Tous |
179 - bgp 443 - https 5473 - Calico/Typha 9443 - métriques Envoy 10250 - port du nœud du kubelet |
Tous les nœuds de calcul doivent être adjacents à la couche 2 et ne pas avoir de pare-feu. |
|
Nœuds de calcul de cluster d'administrateur |
Nœuds de cluster d'utilisateur |
22 |
ssh |
Communication entre le serveur d'API et le kubelet via un tunnel SSH. |
|
Nœuds de calcul de cluster d'utilisateur |
Registre Docker de poste de travail d'administrateur |
|||
|
Nœuds de calcul de cluster d'utilisateur |
gcr.io quay.io *.googleusercontent.com *.googleapis.com *.docker.io *.k8s.io |
443 |
TCP/https |
Téléchargez des images à partir de registres Docker publics. Non requis si vous utilisez un registre Docker privé. |
|
Nœuds de calcul de cluster d'utilisateur |
API F5 BIG-IP |
443 |
TCP/https |
|
|
Nœuds de calcul de cluster d'utilisateur |
Adresse IP virtuelle du serveur pushprox, qui s'exécute dans le cluster d'administrateur. |
8443 |
TCP/https |
Trafic Prometheus. |
|
Nœuds de calcul de cluster d'utilisateur |
Nœuds de calcul de cluster d'utilisateur |
tous |
22 - ssh 179 - bgp 443 - https 5473 - calico-typha 9443 - métriques envoy 10250 - port de nœud kubelet" |
Tous les nœuds de calcul doivent être adjacents à la couche 2 et ne pas avoir de pare-feu. |
|
CIDR du pod du cluster d'administrateur |
CIDR du pod du cluster d'administrateur |
tous |
tous |
Le trafic inter-pod effectue le transfert L2 directement avec le CIDR de pod. Aucune superposition. |
|
Nœuds du cluster d'administrateur |
CIDR du pod du cluster d'administrateur |
tous |
tous |
Le trafic externe est converti dans SNAT sur le premier nœud et envoyé à l'adresse IP du pod. |
|
CIDR du pod du cluster d'administrateur |
Nœuds du cluster d'administrateur |
tous |
tous |
Trafic retour du trafic externe. |
|
CIDR du pod de cluster d'utilisateur |
CIDR du pod de cluster d'utilisateur |
tous |
tous |
Le trafic inter-pod effectue le transfert L2 directement avec le CIDR de pod. Aucune superposition. |
|
Nœuds de cluster d'utilisateur |
CIDR du pod de cluster d'utilisateur |
tous |
tous |
Le trafic externe est converti dans SNAT sur le premier nœud et envoyé à l'adresse IP du pod. |
|
CIDR du pod de cluster d'utilisateur |
Nœuds de cluster d'utilisateur |
tous |
tous |
Trafic retour du trafic externe. |
|
Connect Agent, qui s'exécute sur un nœud de calcul de cluster d'utilisateur aléatoire. |
gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com oauth2.googleapis.com accounts.google.com |
443 |
TCP/https |
Trafic Connect. |
|
Cloud Logging Collector, qui s'exécute sur un nœud de calcul de cluster d'utilisateur aléatoire |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector, qui s'exécute sur un nœud de calcul de cluster d'utilisateur aléatoire |
oauth2.googleapis.com Monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
Clients d'utilisateurs finaux d'une application |
Adresse IP virtuelle d'entrée Istio |
80, 443 |
TCP |
Trafic utilisateur final vers le service d'entrée d'un cluster d'utilisateur. |
|
Serveur de saut pour déployer le poste de travail d'administrateur |
checkpoint-api.hashicorp.com releases.hashicorp.com API vCenter Server IP ESXi VMkernel (mgt) des hôtes dans le cluster cible |
443 |
TCP/https |
Déploiement Terraform du poste de travail d'administrateur. |
|
Poste de travail administrateur |
gcr.io quay.io *.googleusercontent.com *.googleapis.com *.docker.io *.k8s.io" |
443 |
TCP/https |
Téléchargez des images Docker à partir de registres Docker publics. |
|
Poste de travail d'administrateur |
API du serveur vCenter API F5 BIG-IP |
443 |
TCP/https |
Amorçage de cluster |
|
Poste de travail administrateur |
Adresses IP ESXi VMkernel (mgt) des hôtes du cluster cible |
443 |
TCP/https |
Le poste de travail administrateur importe le fichier OVA dans le datastore via les hôtes ESXi. |
|
Poste de travail administrateur |
Adresse IP du nœud de la VM de plan de contrôle du cluster d'administrateur |
443 |
TCP/https |
Amorçage de cluster |
|
Poste de travail administrateur |
Adresse IP virtuelle du serveur d'API Kubernetes du cluster d'administrateur Adresses IP virtuelles des serveurs d'API Kubernetes des clusters d'utilisateurs |
443 |
TCP/https |
Amorçage de cluster Suppression de cluster d'utilisateur |
|
Poste de travail administrateur |
Nœud de plan de contrôle et nœuds de calcul du cluster d'administrateur |
443 |
TCP/https |
Amorçage de cluster Mises à jour du plan de contrôle |
|
Poste de travail administrateur |
Tous les nœuds de cluster d'administrateur et tous les nœuds de cluster d'utilisateur |
443 |
TCP/https |
Validation réseau dans le cadre de la commande |
|
Poste de travail administrateur |
Adresse IP virtuelle de l'entrée Istio du cluster d'administrateur Adresse IP virtuelle de l'entrée Istio des clusters d'utilisateurs |
443 |
TCP/https |
Validation réseau dans le cadre de la commande |
|
Adresse IP automatique F5 |
Tous les nœuds de clusters d'administrateur et de clusters d'utilisateur |
30000 - 32767 |
tous |
Pour le trafic de plan de données dont F5 BIG-IP équilibre la charge via une adresse IP virtuelle de serveur virtuel sur les ports de nœud sur les nœuds de cluster Kubernetes. En règle générale, l'adresse IP automatique F5 se trouve sur le même réseau/sous-réseau que les nœuds du cluster Kubernetes. |