Como incluir endereços do proxy na lista de permissões
Se a organização exigir que o tráfego de saída passe por um servidor proxy, inclua os endereços a seguir na lista de permissões no servidor proxy:
- gcr.io
- googleapis.com
- www.googleapis.com
- accounts.google.com
- cloudresourcemanager.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com
- gkehub.googleapis.com
- iam.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- checkpoint-api.hashicorp.com
- releases.hashicorp.com
Se você usar gkeadm para instalar o GKE On-Prem, não será necessário
incluir os URLs hashicorp acima na lista de permissões.
Além disso, se o servidor do vCenter tiver um endereço IP externo, inclua esse endereço na lista de permissões no servidor proxy.
Regras de firewall
Configure as regras de firewall para permitir o tráfego a seguir:
De |
Até |
Porta |
Protocolo |
Descrição |
|---|---|---|---|---|
|
Nó do plano de controle do cluster de administrador |
API vCenter Server |
443 |
TCP/https |
Redimensionamento de cluster. |
|
Nó do plano de controle do cluster do usuário |
API vCenter Server |
443 |
TCP/https |
Redimensionamento de cluster. |
|
Coletor do Cloud Logging, que é executado em um nó de complemento do cluster de administrador |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
Coletor do Cloud Monitoring, que é executado em um nó de complemento do cluster de administrador |
oauth2.googleapis.com Monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
Nó do plano de controle do cluster de administrador |
API F5 BIG-IP |
443 |
TCP/https |
|
|
Nó do plano de controle do cluster do usuário |
API F5 BIG-IP |
443 |
TCP/https |
|
|
Nó do plano de controle do cluster de administrador |
Registro local do Docker |
Depende do registro |
TCP/https |
Obrigatório se o GKE On-Prem estiver configurado para usar um registro particular local do Docker em vez de gcr.io. |
|
Nó do plano de controle do cluster do usuário |
Registro local do Docker |
Depende do registro |
TCP/https |
Obrigatório se o GKE On-Prem estiver configurado para usar um registro particular local do Docker em vez de gcr.io. |
|
Nó do plano de controle do cluster de administrador |
gcr.io *.googleusercontent.com *.googleapis.com *.k8s.io |
443 |
TCP/https |
Faz o download de imagens de registros públicos do Docker. Não é necessário se você estiver usando um registro particular do Docker. |
|
Nó do plano de controle do cluster do usuário |
gcr.io *.googleusercontent.com *.googleapis.com *.k8s.io |
443 |
TCP/https |
Faz o download de imagens de registros públicos do Docker. Não é necessário se você estiver usando um registro particular do Docker. |
|
Nós de trabalho do cluster de administrador |
Nós de trabalho do cluster de administrador |
todas |
179 - bgp 443 - https 5473 - Calico/Typha 9443 - métricas do envoy 10250 - porta de nó do kubelet |
Todos os nós de trabalho precisam ser adjacentes à camada 2 e sem firewall. |
|
Nós de trabalho do cluster de administrador |
Nós do cluster de usuário |
22 |
ssh |
Servidor de API para comunicação do kubelet em um túnel SSH. |
|
Nós de trabalho do cluster de usuário |
Registro do Docker da estação de trabalho de administrador |
|||
|
Nós de trabalho do cluster de usuário |
gcr.io *.googleusercontent.com *.googleapis.com *.k8s.io |
443 |
TCP/https |
Faz o download de imagens de registros públicos do Docker. Não é necessário se você estiver usando um registro particular do Docker. |
|
Nós de trabalho do cluster de usuário |
API F5 BIG-IP |
443 |
TCP/https |
|
|
Nós de trabalho do cluster de usuário |
VIP do servidor pushprox, que é executado no cluster do administrador. |
8443 |
TCP/https |
Tráfego do Prometheus. |
|
Nós de trabalho do cluster de usuário |
Nós de trabalho do cluster de usuário |
todas |
22 - ssh 179 - bgp 443 - https 5473 - calico-typha 9443 - métricas do envoy 10250 - porta de nó do kubelet" |
Todos os nós de trabalho precisam ser adjacentes à camada 2 e sem firewall. |
|
CIDR do pod do cluster de administrador |
CIDR do pod do cluster de administrador |
todas |
qualquer um |
O tráfego entre pods faz o encaminhamento L2 diretamente com o CIDR do pod. Sem sobreposição. |
|
Nós do cluster de administrador |
CIDR do pod do cluster de administrador |
todas |
qualquer um |
O tráfego externo recebe SNATted no primeiro nó e é enviado para o IP do pod. |
|
CIDR do pod do cluster de administrador |
Nós do cluster de administrador |
todas |
qualquer um |
Retorna o tráfego de tráfego externo. |
|
CIDR do pod de cluster de usuário |
CIDR do pod de cluster de usuário |
todas |
qualquer um |
O tráfego entre pods faz o encaminhamento L2 diretamente com o CIDR do pod. Sem sobreposição. |
|
Nós do cluster de usuário |
CIDR do pod de cluster de usuário |
todas |
qualquer um |
O tráfego externo recebe SNATted no primeiro nó e é enviado para o IP do pod. |
|
CIDR do pod de cluster de usuário |
Nós do cluster de usuário |
todas |
qualquer um |
Retorna o tráfego de tráfego externo. |
|
O agente do Connect, que é executado em um nó de trabalho de cluster de usuário aleatório. |
gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com oauth2.googleapis.com accounts.google.com |
443 |
TCP/https |
Tráfego do Connect. |
|
Coletor do Cloud Logging, que é executado em um nó de trabalho de cluster de usuário aleatório |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
Coletor do Cloud Monitoring, que é executado em um nó de trabalho de cluster de usuário aleatório |
oauth2.googleapis.com Monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
|
Clientes e usuários finais de aplicativo |
VIP da entrada do Istio |
80, 443 |
TCP |
Tráfego de usuário final para o serviço de entrada de um cluster de usuário. |
|
Servidor do Jump para implantar a estação de trabalho do administrador |
checkpoint-api.hashicorp.com releases.hashicorp.com API vCenter Server IPs ESXi VMkernel (mgt) dos hosts no cluster de destino |
443 |
TCP/https |
Implantação do Terraform da estação de trabalho do administrador. |
|
Estação de trabalho do administrador |
gcr.io *.googleusercontent.com *.googleapis.com *.k8s.io" |
443 |
TCP/https |
Faz o download de imagens do Docker a partir de registros públicos do Docker. |
|
Estação de trabalho do administrador |
API vCenter Server API F5 BIG-IP |
443 |
TCP/https |
Inicialização do cluster |
|
Estação de trabalho do administrador |
IPs ESXi VMkernel (mgt) dos hosts no cluster de destino |
443 |
TCP/https |
A estação de trabalho do administrador faz o upload do OVA para o armazenamento de dados por meio dos hosts ESXi |
|
Estação de trabalho do administrador |
IP do nó da VM do plano de controle do cluster de administrador |
443 |
TCP/https |
Inicialização do cluster |
|
Estação de trabalho do administrador |
VIP do servidor da API Kubernetes do cluster de administrador VIPs dos servidores da API Kubernetes dos clusters de usuário |
443 |
TCP/https |
Inicialização do cluster Exclusão de cluster de usuário |
|
Estação de trabalho do administrador |
Nós do plano de controle do cluster do administrador e nós de trabalho |
443 |
TCP/https |
Inicialização do cluster Upgrades de plano de controle |
|
Estação de trabalho do administrador |
Todos os nós de cluster de administrador e todos os nós de cluster de usuário |
443 |
TCP/https |
Validação de rede como parte do comando
|
|
Estação de trabalho do administrador |
VIP da entrada do Istio do cluster de administrador VIP da entrada do Istio dos clusters de usuário |
443 |
TCP/https |
Validação de rede como parte do comando
|
|
Estação de trabalho do administrador |
IPs de VMs do Seesaw LB nos clusters de administrador e de usuário VIPs do Seesaw LB de clusters de administrador e usuário |
20256, 20258 |
TCP/http/gRPC |
Verificação de integridade de LBs. Só é necessário se você estiver usando o pacote do LB Seesaw. |
|
Estação de trabalho do administrador |
IP do nó do plano de controle do cluster do administrador |
22 |
TCP |
Obrigatório se você precisar de acesso SSH da estação de trabalho de administrador para o plano de controle do cluster do administrador. |
|
Nós do cluster de administrador |
IPs de VMs do Seesaw LB do cluster de administrador |
20255, 20257 |
TCP/http |
Monitoramento de métricas e push de configuração do LB. Só é necessário se você estiver usando o pacote do LB Seesaw. |
|
Nós do cluster de usuário |
IPs de VMs do Seesaw LB do cluster de usuário |
20255, 20257 |
TCP/http |
Monitoramento de métricas e push de configuração do LB. Só é necessário se você estiver usando o pacote do LB Seesaw. |
|
IPs de VM do LB |
IPs de nós do cluster correspondente |
10256: verificação de integridade do nó 30000 - 32767: healthCheckNodePort |
TCP/http |
Verificação de integridade do nó. O healthCheckNodePort serve para serviços com o externalTrafficPolicy definido como local. Só é necessário se você estiver usando o pacote do LB Seesaw. |
|
IP próprio do F5 |
Todos os nós de cluster de administrador e de usuário |
30000 - 32767 |
qualquer um |
Para o tráfego do plano de dados que a carga do F5 BIG-IP equilibra por meio de um servidor virtual VIP para as portas do nó em nós do cluster do Kubernetes. Normalmente, o IP próprio do F5 está na mesma rede/sub-rede que os nós do cluster do Kubernetes. |