Questa pagina mostra come configurare le regole del proxy e del firewall per i cluster Anthos su VMware (GKE On-Prem).
Indirizzi della lista consentita per il proxy
Se la tua organizzazione richiede che il traffico in uscita passi attraverso un server proxy, autorizza i seguenti indirizzi nel server proxy. Tieni presente che è necessaria la proprietà www.googleapis.com
, anziché googleapis.com
:
- dl.google.com (richiesto dal programma di installazione di Google Cloud SDK)
- gcr.io
- www.googleapis.com
- accounts.google.com
- cloudresourcemanager.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com
- gkehub.googleapis.com
- iam.googleapis.com
- iamcredentials.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- opsconfigmonitoring.googleapis.com
- securetoken.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- sts.googleapis.com
- checkpoint-api.hashicorp.com
- release.hashicorp.com (facoltativo). Obbligatorio solo se utilizzi Terraform per creare una workstation di amministrazione.)
Se utilizzi gkeadm
per installare cluster Anthos su VMware, non è necessario inserire nella lista consentita gli URL hashicorp sopra riportati.
Inoltre, se il server vCenter ha un indirizzo IP esterno, inseriscilo nella lista consentita nel tuo server proxy.
Regole del firewall
Configura le regole firewall in modo da consentire il traffico seguente.
Regole firewall per gli indirizzi IP disponibili nel cluster di amministrazione
Gli indirizzi IP disponibili nel cluster di amministrazione sono elencati nel file di blocco IP. Questi indirizzi IP vengono utilizzati per il nodo del piano di controllo del cluster di amministrazione, dei nodi aggiuntivi del cluster di amministrazione e del nodo del piano di controllo del cluster utente. Poiché gli indirizzi IP per il cluster di amministrazione non sono assegnati a nodi specifici, devi assicurarti che tutte le regole firewall elencate nella tabella seguente si applichino a tutti gli indirizzi IP disponibili per il cluster di amministrazione.
Da |
Porta di origine |
To |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|---|
Nodo del piano di controllo del cluster di amministrazione |
1024 - 65535 |
API vCenter Server |
443 |
TCP/https |
Ridimensionamento del cluster. |
Nodi aggiuntivi del cluster di amministrazione |
1024 - 65535 |
API vCenter Server |
443 |
TCP/https |
Gestione del ciclo di vita dei cluster utente. |
Nodo del piano di controllo del cluster utente |
1024 - 65535 |
API vCenter Server |
443 |
TCP/https |
Ridimensionamento del cluster. |
Nodo del piano di controllo del cluster utente |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
È richiesto l'accesso per la registrazione dell'hub. |
Cloud Logging Collector, che viene eseguito su un nodo aggiuntivo del cluster di amministrazione |
1024 - 65535 |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
Cloud Metadata Collector, che viene eseguito su un nodo aggiuntivo del cluster di amministrazione |
1024 - 65535 |
opsconfigmonitoring.googleapis.com |
443 |
TCP/https |
|
Cloud Monitoring Collector, che viene eseguito su un nodo aggiuntivo del cluster di amministrazione |
1024 - 65535 |
oauth2.googleapis.com monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
Nodo del piano di controllo del cluster di amministrazione |
1024 - 65535 |
API F5 BIG-IP |
443 |
TCP/https |
|
Nodo del piano di controllo del cluster utente |
1024 - 65535 |
API F5 BIG-IP |
443 |
TCP/https |
|
Nodo del piano di controllo del cluster di amministrazione |
1024 - 65535 |
Registro Docker locale on-premise |
Dipende dal registro |
TCP/https |
Obbligatorio se i cluster Anthos su VMware sono configurati per utilizzare un registro Docker privato locale anziché gcr.io. |
Nodo del piano di controllo del cluster utente |
1024 - 65535 |
Registro Docker locale on-premise |
Dipende dal registro |
TCP/https |
Obbligatorio se i cluster Anthos su VMware sono configurati per utilizzare un registro Docker privato locale anziché gcr.io. |
Nodo del piano di controllo del cluster di amministrazione |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per il cluster di amministrazione |
443 |
TCP/https |
Scarica immagini dai registri Docker pubblici. Non è obbligatorio se utilizzi un registro Docker privato. |
Nodo del piano di controllo del cluster utente |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per il cluster di amministrazione |
443 |
TCP/https |
Scarica immagini dai registri Docker pubblici. Non è obbligatorio se utilizzi un registro Docker privato. |
Nodi worker cluster di amministrazione |
1024 - 65535 |
Nodi worker cluster di amministrazione |
Tutti |
179 - bgp 443 - https 5473 - Calico/Typha 9443 - Metriche Envoy 10250 - porta del nodo kubelet |
Tutti i nodi worker devono essere adiacenti al livello 2 e senza alcun firewall. |
Nodi del cluster di amministrazione |
1024 - 65535 |
CIDR del pod del cluster di amministrazione |
tutte |
tutte |
Il traffico esterno riceve SNAT'ed sul primo nodo e inviato all'IP del pod. |
Nodi worker cluster di amministrazione |
tutte |
Nodi del cluster utente |
22 |
ssh |
Server API per la comunicazione kubelet tramite un tunnel SSH. |
Nodi del cluster di amministrazione |
1024 - 65535 |
IP delle VM del bilanciatore del carico di Seesaw del cluster di amministrazione |
20255,20257 |
TCP/http |
Push della configurazione di LB e monitoraggio delle metriche. Necessario solo se utilizzi LB Seesaw in bundle. |
Nodi del cluster di amministrazione |
1024 - 65535 |
Nodi del cluster di amministrazione |
7946 |
TCP/UDP |
Controllo di integrità MetalLB. Obbligatorio solo se utilizzi LB MetalLB in bundle. |
Regole firewall per i nodi del cluster utente
Nei nodi del cluster utente, i relativi indirizzi IP sono elencati nel file di blocco IP.
Come con i nodi del cluster di amministrazione, non sai quale indirizzo IP verrà utilizzato per un determinato nodo. Quindi, tutte le regole nei nodi del cluster utente si applicano a ogni nodo nel cluster utente.
Da |
Porta di origine |
To |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|---|
Nodi worker cluster utente |
tutte |
gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per questo cluster |
443 |
TCP/https |
Scarica immagini dai registri Docker pubblici. Non è obbligatorio se utilizzi un registro Docker privato. |
Nodi worker cluster utente |
tutte |
API F5 BIG-IP |
443 |
TCP/https |
|
Nodi worker cluster utente |
tutte |
VIP del server pushprox, che viene eseguito nel cluster di amministrazione. |
8443 |
TCP/https |
Traffico di Prometheus. |
Nodi worker cluster utente |
tutte |
Nodi worker cluster utente |
tutte |
22 - ssh 179 - bgp 443 - https 5473 - calico-typha 9443 - metriche invio 10250 - porta del nodo kubelet" |
Tutti i nodi worker devono essere adiacenti al livello 2 e senza alcun firewall. |
Nodi worker cluster utente |
tutte |
VIP del piano di controllo dell'utente |
443 |
TCP/https |
|
Nodi worker cluster utente |
tutte |
VIP del piano di controllo dell'utente |
8132 |
GRPC |
Connessione Konnectivity. |
Nodi del cluster utente |
1024 - 65535 |
CIDR del pod del cluster utente |
tutte |
tutte |
Il traffico esterno riceve SNAT'ed sul primo nodo e inviato all'IP del pod. |
Cloud Logging Collector, che viene eseguito su un nodo worker del cluster utente casuale |
1024 - 65535 |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
Connetti l'agente, che viene eseguito su un nodo worker del cluster utente casuale. |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com |
443 |
TCP/https |
Connetti il traffico. |
Cloud Metadata Collector, che viene eseguito su un nodo worker del cluster utente casuale |
1024 - 65535 |
opsconfigmonitoring.googleapis.com |
443 |
TCP/https |
|
Cloud Monitoring Collector, che viene eseguito su un nodo worker del cluster utente casuale |
1024 - 65535 |
oauth2.googleapis.com Monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
Nodi del cluster utente |
1024 - 65535 |
IP delle VM del bilanciatore del carico di Seesaw del cluster utente |
20255,20257 |
TCP/http |
Push della configurazione di LB e monitoraggio delle metriche. Necessario solo se utilizzi LB Seesaw in bundle. |
Gli utenti cluster dei nodi con EnableLoadBalancer=true |
1024 - 65535 |
Gli utenti cluster dei nodi con EnableLoadBalancer=true |
7946 |
TCP/UDP |
Controllo di integrità MetalLB. Obbligatorio solo se utilizzi LB MetalLB in bundle. |
Rete di cluster utente |
tutte |
VIP del piano di controllo del cluster utente |
443 |
TCP/https |
Regole firewall per i componenti rimanenti
Queste regole si applicano a tutti gli altri componenti non elencati nelle tabelle per il cluster di amministrazione e i nodi del cluster utente.
Da |
Porta di origine |
To |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|---|
CIDR del pod del cluster di amministrazione |
1024 - 65535 |
CIDR del pod del cluster di amministrazione |
tutte |
tutte |
Il traffico tra pod esegue l'inoltro L2 direttamente tramite l'IP di origine e di destinazione all'interno del CIDR del pod. |
CIDR del pod del cluster di amministrazione |
1024 - 65535 |
Nodi del cluster di amministrazione |
tutte |
tutte |
Traffico di ritorno del traffico esterno. |
CIDR del pod del cluster utente |
1024 - 65535 |
CIDR del pod del cluster utente |
tutte |
tutte |
Il traffico tra pod esegue l'inoltro L2 direttamente tramite l'IP di origine e di destinazione all'interno del CIDR del pod. |
CIDR del pod del cluster utente |
1024 - 65535 |
Nodi del cluster utente |
tutte |
tutte |
Traffico di ritorno del traffico esterno. |
Client e utenti finali dell'applicazione |
tutte |
VIP di Istio in entrata |
80, 443 |
TCP |
Traffico degli utenti finali verso il servizio in entrata di un cluster utente. |
Ignora server per il deployment della workstation di amministrazione |
intervallo di porte temporanee |
checkpoint-api.hashicorp.com release.hashicorp.com API vCenter Server IP ESXi VMkernel (mgt) degli host nel cluster di destinazione |
443 |
TCP/https |
Deployment Terraform della workstation di amministrazione. (opzione facoltativa; Questo passaggio è obbligatorio solo se utilizzi Terraform per creare una workstation di amministrazione. |
Workstation di amministrazione |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Qualsiasi *.googleapis.com URL richiesto per i servizi abilitati per questo cluster |
443 |
TCP/https |
Scarica le immagini Docker dai registri Docker pubblici. |
Workstation di amministrazione |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Qualsiasi *.googleapis.com URL richiesto per i servizi abilitati per l'amministratore o i cluster utente |
443 |
TCP/https |
Controlli preliminari (convalida). |
Workstation di amministrazione |
32768- 60999 |
API vCenter Server API F5 BIG-IP |
443 |
TCP/https |
Boostrap del cluster. |
Workstation di amministrazione |
32768- 60999 |
IP ESXi VMkernel (mgt) degli host nel cluster di destinazione |
443 |
TCP/https |
La workstation di amministrazione carica l'OVA nel datastore attraverso gli host ESXi. |
Workstation di amministrazione |
32768- 60999 |
IP nodo della VM del piano di controllo del cluster di amministrazione |
443 |
TCP/https |
Boostrap del cluster. |
Workstation di amministrazione |
32768- 60999 |
VIP del server API Kubernetes del cluster di amministrazione VIP dei cluster utente' server API Kubernetes |
443 |
TCP/https |
Boostrap del cluster. Eliminazione del cluster utente. |
Workstation di amministrazione |
32768- 60999 |
Nodo del piano di controllo del cluster di amministrazione e nodi worker |
443 |
TCP/https |
Boostrap del cluster. Upgrade del piano di controllo. |
Workstation di amministrazione |
32768- 60999 |
Tutti i nodi del cluster di amministrazione e tutti i nodi del cluster utente |
443 |
TCP/https |
Convalida della rete come parte del comando |
Workstation di amministrazione |
32768- 60999 |
VIP del traffico in entrata Istio del cluster di amministrazione VIP dei cluster utente' Istio in entrata |
443 |
TCP/https |
Convalida della rete come parte del comando |
Workstation di amministrazione |
32768- 60999 |
IP delle VM LB di Seesaw nei cluster utente e amministratore Altalena VIP VIP di cluster di amministrazione e utente |
20256,20258 |
TCP/http/gRPC |
Controllo di integrità delle BC. necessaria solo se utilizzi l'Seesaw LB in bundle. |
Workstation di amministrazione |
32768- 60999 |
IP del nodo del piano di controllo del cluster |
22 |
TCP |
Obbligatorio se hai bisogno dell'accesso SSH dalla workstation di amministrazione al piano di controllo del cluster di amministrazione. |
IP VM LB |
32768- 60999 |
IP dei nodi del cluster corrispondente |
10256: controllo di integrità dei nodi |
TCP/http |
Controllo di integrità del nodo. healthCheckNodePort è per i servizi con externalTrafficPolicy impostato su Local. necessaria solo se utilizzi l'Seesaw LB in bundle. |
IP5 F5 |
1024 - 65535 |
Tutti i nodi amministratore e tutti i nodi cluster utente |
30.000-32.767 |
tutte |
Per il traffico del piano dati bilanciato dal carico F5 BIG-IP tramite un VIP server virtuale verso le porte dei nodi sui nodi del cluster Kubernetes. In genere, l'auto-IP di F5 si trova sulla stessa rete/subnet dei nodi del cluster Kubernetes. |