Regras de proxy e firewall

Como incluir endereços do proxy na lista de permissões

Se a organização exigir que o tráfego de saída passe por um servidor proxy, inclua os endereços a seguir na lista de permissões no servidor proxy:

  • gcr.io
  • googleapis.com
  • www.googleapis.com
  • storage.googleapis.com
  • gkeconnect.googleapis.com
  • cloudresourcemanager.googleapis.com
  • container.googleapis.com
  • serviceusage.googleapis.com
  • gkehub.googleapis.com
  • logging.googleapis.com
  • monitoring.googleapis.com
  • oauth2.googleapis.com
  • console.cloud.google.com
  • accounts.google.com
  • iam.googleapis.com
  • cloud.google.com
  • checkpoint-api.hashicorp.com
  • releases.hashicorp.com

Além disso, se o servidor do vCenter tiver um endereço IP externo, inclua esse endereço na lista de permissões no servidor proxy.

Regras de firewall

Configure as regras de firewall para permitir o tráfego a seguir:

De

Até

Porta

Protocolo

Descrição

Nó do plano de controle do cluster de administrador

API vCenter Server

443

TCP/https

Redimensionamento de cluster.

Nó do plano de controle do cluster do usuário

API vCenter Server

443

TCP/https

Redimensionamento de cluster.

Coletor do Cloud Logging, que é executado em um nó de complemento do cluster de administrador

oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Coletor do Cloud Monitoring, que é executado em um nó de complemento do cluster de administrador

oauth2.googleapis.com
Monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Nó do plano de controle do cluster de administrador

API F5 BIG-IP

443

TCP/https

Nó do plano de controle do cluster do usuário

API F5 BIG-IP

443

TCP/https

Nó do plano de controle do cluster de administrador

Registro do Docker local

Depende do registro

TCP/https

Obrigatório se o GKE On-Prem estiver configurado para usar um registro particular local do Docker em vez de gcr.io.

Nó do plano de controle do cluster do usuário

Registro do Docker local

Depende do registro

TCP/https

Obrigatório se o GKE On-Prem estiver configurado para usar um registro particular local do Docker em vez de gcr.io.

Nó do plano de controle do cluster de administrador

gcr.io
quay.io
*.googleusercontent.com
*.googleapis.com
*.docker.io
*.k8s.io

443

TCP/https

Faz o download de imagens de registros públicos do Docker.

Não é necessário se você estiver usando um registro particular do Docker.

Nó do plano de controle do cluster do usuário

gcr.io
quay.io
*.googleusercontent.com
*.googleapis.com
*.docker.io
*.k8s.io
443

TCP/https

Faz o download de imagens de registros públicos do Docker.

Não é necessário se você estiver usando um registro particular do Docker.

Nós de trabalho do cluster de administrador

Nós de trabalho do cluster de administrador

todas

179 - bgp

443 - https

5473 - Calico/Typha

9443 - métricas do envoy

10250 - porta de nó do kubelet

Todos os nós de trabalho precisam ser adjacentes à camada 2 e sem firewall.

Nós de trabalho do cluster de administrador

Nós do cluster de usuário

22

ssh

Servidor de API para comunicação do kubelet em um túnel SSH.

Nós de trabalho do cluster de usuário

Registro do Docker da estação de trabalho de administrador

Nós de trabalho do cluster de usuário

gcr.io
quay.io
*.googleusercontent.com
*.googleapis.com
*.docker.io
*.k8s.io

443

TCP/https

Faz o download de imagens de registros públicos do Docker.

Não é necessário se você estiver usando um registro particular do Docker.

Nós de trabalho do cluster de usuário

API F5 BIG-IP

443

TCP/https

Nós de trabalho do cluster de usuário

VIP do servidor pushprox, que é executado no cluster do administrador.

8443

TCP/https

Tráfego do Prometheus.

Nós de trabalho do cluster de usuário

Nós de trabalho do cluster de usuário

todas

22 - ssh

179 - bgp

443 - https

5473 - calico-typha

9443 - métricas do envoy

10250 - porta de nó do kubelet"

Todos os nós de trabalho precisam ser adjacentes à camada 2 e sem firewall.

CIDR do pod do cluster de administrador

CIDR do pod do cluster de administrador

todas

qualquer um

O tráfego entre pods faz o encaminhamento L2 diretamente com o CIDR do pod. Sem sobreposição.

Nós do cluster de administrador

CIDR do pod do cluster de administrador

todas

qualquer um

O tráfego externo recebe SNATted no primeiro nó e é enviado para o IP do pod.

CIDR do pod do cluster de administrador

Nós do cluster de administrador

todas

qualquer um

Retorna o tráfego de tráfego externo.

CIDR do pod de cluster de usuário

CIDR do pod de cluster de usuário

todas

qualquer um

O tráfego entre pods faz o encaminhamento L2 diretamente com o CIDR do pod. Sem sobreposição.

Nós do cluster de usuário

CIDR do pod de cluster de usuário

todas

qualquer um

O tráfego externo recebe SNATted no primeiro nó e é enviado para o IP do pod.

CIDR do pod de cluster de usuário

Nós do cluster de usuário

todas

qualquer um

Retorna o tráfego de tráfego externo.

O agente do Connect, que é executado em um nó de trabalho de cluster de usuário aleatório.

gkeconnect.googleapis.com
gkehub.googleapis.com
www.googleapis.com
oauth2.googleapis.com
accounts.google.com

443

TCP/https

Tráfego do Connect.

Coletor do Cloud Logging, que é executado em um nó de trabalho de cluster de usuário aleatório

oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Coletor do Cloud Monitoring, que é executado em um nó de trabalho de cluster de usuário aleatório

oauth2.googleapis.com
Monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Clientes e usuários finais de aplicativo

VIP da entrada do Istio

80, 443

TCP

Tráfego de usuário final para o serviço de entrada de um cluster de usuário.

Servidor do Jump para implantar a estação de trabalho do administrador

checkpoint-api.hashicorp.com
releases.hashicorp.com
API vCenter Server
IPs ESXi VMkernel (mgt) dos hosts no cluster de destino

443

TCP/https

Implantação do Terraform da estação de trabalho do administrador.

Estação de trabalho do administrador

gcr.io
quay.io
*.googleusercontent.com
*.googleapis.com
*.docker.io
*.k8s.io"

443

TCP/https

Faz o download de imagens do Docker a partir de registros públicos do Docker.

Estação de trabalho do administrador

API vCenter Server

API F5 BIG-IP

443

TCP/https

Inicialização do cluster

Estação de trabalho do administrador

IPs ESXi VMkernel (mgt) dos hosts no cluster de destino

443

TCP/https

A estação de trabalho do administrador faz o upload do OVA para o armazenamento de dados por meio dos hosts ESXi

Estação de trabalho do administrador

IP do nó da VM do plano de controle do cluster de administrador

443

TCP/https

Inicialização do cluster

Estação de trabalho do administrador

VIP do servidor da API Kubernetes do cluster de administrador

VIPs dos servidores da API Kubernetes dos clusters de usuário

443

TCP/https

Inicialização do cluster

Exclusão de cluster de usuário

Estação de trabalho do administrador

Nós do plano de controle do cluster do administrador e nós de trabalho

443

TCP/https

Inicialização do cluster

Upgrades de plano de controle

Estação de trabalho do administrador

Todos os nós de cluster de administrador e todos os nós de cluster de usuário

443

TCP/https

Validação de rede como parte do comando gkectl check-config.

Estação de trabalho do administrador

VIP da entrada do Istio do cluster de administrador

VIP da entrada do Istio dos clusters de usuário

443

TCP/https

Validação de rede como parte do comando gkectl check-config.

IP próprio do F5

Todos os nós de cluster de administrador e de usuário

30000 - 32767

qualquer um

Para o tráfego do plano de dados que a carga do F5 BIG-IP equilibra por meio de um servidor virtual VIP para as portas do nó em nós do cluster do Kubernetes.

Normalmente, o IP próprio do F5 está na mesma rede/sub-rede que os nós do cluster do Kubernetes.