Configura le regole del firewall per consentire il seguente traffico:
Da |
To |
Porta |
Protocollo |
Descrizione |
|---|---|---|---|---|
|
Nodo del piano di controllo del cluster di amministrazione |
API vCenter Server |
443 |
TCP/https |
Ridimensionamento del cluster. |
|
Nodo del piano di controllo del cluster utente |
API vCenter Server |
443 |
TCP/https |
Ridimensionamento del cluster. |
|
Cloud Logging Collector, eseguito su un nodo aggiuntivo del cluster di amministrazione |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector, eseguito su un nodo aggiuntivo del cluster di amministrazione |
oauth2.googleapis.com Monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
Nodo del piano di controllo del cluster di amministrazione |
API F5 BIG-IP |
443 |
TCP/https |
|
|
Nodo del piano di controllo del cluster utente |
API F5 BIG-IP |
443 |
TCP/https |
|
|
Nodo del piano di controllo del cluster di amministrazione |
Registro Docker locale on-prem |
Dipende dal registro |
TCP/https |
Obbligatorio se GKE On-Prem è configurato per utilizzare un registro Docker privato locale anziché gcr.io. |
|
Nodo del piano di controllo del cluster utente |
Registro Docker locale on-prem |
Dipende dal registro |
TCP/https |
Obbligatorio se GKE On-Prem è configurato per utilizzare un registro Docker privato locale anziché gcr.io. |
|
Nodo del piano di controllo del cluster di amministrazione |
gcr.io quay.io *.googleusercontent.com *.googleapis.com *.docker.io *.k8s.io |
443 |
TCP/https |
Scarica immagini da registri Docker pubblici. Non è necessario se si utilizza un registro Docker privato. |
|
Nodo del piano di controllo del cluster utente |
gcr.io quay.io *.googleusercontent.com *.googleapis.com *.docker.io *.k8s.io |
443 |
TCP/https |
Scarica immagini da registri Docker pubblici. Non è necessario se si utilizza un registro Docker privato. |
|
Nodi worker del cluster di amministrazione |
Nodi worker del cluster di amministrazione |
Tutti |
179 - bgp 443 - https 5473: Calico/Typha 9443 - Metriche Envoy 10250: porta del nodo kubelet |
Tutti i nodi worker devono essere adiacenti di livello 2 e senza alcun firewall. |
|
Nodi worker del cluster di amministrazione |
Nodi cluster utente |
22 |
ssh |
Server API per la comunicazione kubelet su un tunnel SSH. |
|
Nodi worker cluster utente |
Registro Docker della workstation di amministrazione |
|||
|
Nodi worker cluster utente |
gcr.io quay.io *.googleusercontent.com *.googleapis.com *.docker.io *.k8s.io |
443 |
TCP/https |
Scarica immagini da registri Docker pubblici. Non è necessario se si utilizza un registro Docker privato. |
|
Nodi worker cluster utente |
API F5 BIG-IP |
443 |
TCP/https |
|
|
Nodi worker cluster utente |
VIP del server pushprox, eseguito nel cluster di amministrazione. |
8443 |
TCP/https |
Traffico prometheus. |
|
Nodi worker cluster utente |
Nodi worker cluster utente |
tutte |
22 - SSH 179 - bgp 443 - https 5473: calico-typha 9443 - metriche invio 10250 - porta del nodo kubelet" |
Tutti i nodi worker devono essere adiacenti di livello 2 e senza alcun firewall. |
|
CIDR pod di cluster di amministrazione |
CIDR pod di cluster di amministrazione |
tutte |
tutte |
Il traffico inter-pod esegue l'inoltro L2 direttamente con il CIDR del pod. Nessun overlay. |
|
Nodi cluster di amministrazione |
CIDR pod di cluster di amministrazione |
tutte |
tutte |
Il traffico esterno viene recuperato in SNAT sul primo nodo e inviato all'IP del pod. |
|
CIDR pod di cluster di amministrazione |
Nodi cluster di amministrazione |
tutte |
tutte |
Restituisci il traffico di traffico esterno. |
|
CIDR pod utente utente |
CIDR pod utente utente |
tutte |
tutte |
Il traffico inter-pod esegue l'inoltro L2 direttamente con il CIDR del pod. Nessun overlay. |
|
Nodi cluster utente |
CIDR pod utente utente |
tutte |
tutte |
Il traffico esterno viene recuperato in SNAT sul primo nodo e inviato all'IP del pod. |
|
CIDR pod utente utente |
Nodi cluster utente |
tutte |
tutte |
Restituisci il traffico di traffico esterno. |
|
Collega l'agente, che viene eseguito su un nodo worker del cluster utente casuale. |
gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com oauth2.googleapis.com accounts.google.com |
443 |
TCP/https |
Connetti il traffico. |
|
Cloud Logging Collector, eseguito su un nodo worker del cluster utente casuale |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector, eseguito su un nodo worker del cluster utente casuale |
oauth2.googleapis.com Monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
Clienti di un'applicazione finale |
VIP di Istio in entrata |
80, 443 |
TCP |
Traffico degli utenti finali verso il servizio in entrata di un cluster utente. |
|
Salta il server per eseguire il deployment della workstation di amministrazione |
checkpoint-api.hashicorp.com release.hashicorp.com API vCenter Server IP ESXi VMkernel (mgt) degli host nel cluster di destinazione |
443 |
TCP/https |
Deployment di Terraform della workstation di amministrazione. |
|
Workstation di amministrazione |
gcr.io quay.io *.googleusercontent.com *.googleapis.com *.docker.io *.k8s.io" |
443 |
TCP/https |
Scarica immagini Docker da registri Docker pubblici. |
|
Workstation di amministrazione |
API vCenter Server API F5 BIG-IP |
443 |
TCP/https |
Avvio bootstrap del cluster |
|
Workstation di amministrazione |
IP ESXi VMkernel (mgt) degli host nel cluster di destinazione |
443 |
TCP/https |
La workstation di amministrazione carica l'OVA nel datastore tramite gli host ESXi |
|
Workstation di amministrazione |
IP nodo della VM del piano di controllo del cluster di amministrazione |
443 |
TCP/https |
Avvio bootstrap del cluster |
|
Workstation di amministrazione |
VIP del server API Kubernetes del cluster di amministrazione VIP degli cluster utente' server API Kubernetes |
443 |
TCP/https |
Avvio bootstrap del cluster Eliminazione del cluster utente |
|
Workstation di amministrazione |
Nodo del piano di controllo del cluster di amministrazione e nodi worker |
443 |
TCP/https |
Avvio bootstrap del cluster Upgrade del piano di controllo |
|
Workstation di amministrazione |
Tutti i nodi del cluster di amministrazione e tutti i nodi del cluster utente |
443 |
TCP/https |
Convalida della rete come parte del comando |
|
Workstation di amministrazione |
VIP del traffico in entrata Istio del cluster di amministrazione VIP dei cluster utente' Istio in entrata |
443 |
TCP/https |
Convalida della rete come parte del comando |
|
Auto-IP F5 |
Tutti i nodi amministratore e tutti i cluster utente |
30.000-32.767 |
tutte |
Per il traffico del piano dati, il bilanciamento FG BIG-IP bilancia tramite un VIP server virtuale le porte dei nodi sui nodi del cluster Kubernetes. In genere l'auto-IP di F5 si trova sulla stessa rete/subnet dei nodi del cluster Kubernetes. |