Adressen für Ihren Proxy auf die Zulassungsliste setzen
Wenn in Ihrer Organisation ausgehender Traffic einen Proxyserver passieren muss, setzen Sie die folgenden Adressen auf die Zulassungsliste für den Proxyserver:
- gcr.io
- googleapis.com
- www.googleapis.com
- accounts.google.com
- cloudresourcemanager.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com
- gkehub.googleapis.com
- iam.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- checkpoint-api.hashicorp.com
- releases.hashicorp.com
Wenn Sie gkeadm
zum Installieren von GKE On-Prem verwenden, müssen Sie die hashicorp-URLs oben nicht auf die Zulassungsliste aufnehmen.
Wenn außerdem Ihr vCenter-Server eine externe IP-Adresse hat, setzen Sie diese Adresse auf die Zulassungsliste für den Proxyserver.
Firewallregeln
Richten Sie Ihre Firewallregeln so ein, dass der folgende Traffic zugelassen wird:
Von |
An |
Port |
Protokoll |
Beschreibung |
---|---|---|---|---|
Knoten der Administratorcluster-Steuerungsebene |
vCenter Server API |
443 |
TCP/https |
Größenanpassung für Cluster |
Knoten der Nutzercluster-Steuerungsebene |
vCenter Server API |
443 |
TCP/https |
Größenanpassung für Cluster |
Cloud Logging Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird |
oauth2.googleapis.com logging.googleapis.com Stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
Cloud Monitoring Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird |
oauth2.googleapis.com Monitoring.googleapis.com googleapis.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
Knoten der Administratorcluster-Steuerungsebene |
F5 BIG-IP API |
443 |
TCP/https |
|
Knoten der Nutzercluster-Steuerungsebene |
F5 BIG-IP API |
443 |
TCP/https |
|
Knoten der Administratorcluster-Steuerungsebene |
Lokale Docker-Registry |
Hängt von Ihrer Registry ab |
TCP/https |
Erforderlich, wenn GKE On-Prem für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist |
Knoten der Nutzercluster-Steuerungsebene |
Lokale Docker-Registry |
Hängt von Ihrer Registry ab |
TCP/https |
Erforderlich, wenn GKE On-Prem für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist |
Knoten der Administratorcluster-Steuerungsebene |
gcr.io *.googleusercontent.com *.googleapis.com *.k8s.io |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
Knoten der Nutzercluster-Steuerungsebene |
gcr.io *.googleusercontent.com *.googleapis.com *.k8s.io |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
Administratorcluster-Worker-Knoten |
Administratorcluster-Worker-Knoten |
Alle |
179 – bgp 443 – https 5473 – Calico/Typha 9443 – Envoy-Messwerte 10250 – Kubelet-Knotenport |
Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben. |
Administratorcluster-Worker-Knoten |
Nutzercluster-Knoten |
22 |
ssh |
API-Server für Kubelet-Kommunikation über einen SSH-Tunnel. |
Nutzercluster-Worker-Knoten |
Administrator-Workstation-Docker-Registry |
|||
Nutzercluster-Worker-Knoten |
gcr.io *.googleusercontent.com *.googleapis.com *.k8s.io |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
Nutzercluster-Worker-Knoten |
F5 BIG-IP API |
443 |
TCP/https |
|
Nutzercluster-Worker-Knoten |
VIP des pushprox-Servers, der im Administratorcluster ausgeführt wird |
8443 |
TCP/https |
Prometheus-Traffic |
Nutzercluster-Worker-Knoten |
Nutzercluster-Worker-Knoten |
Alle |
22 – ssh 179 – bgp 443 – https 5473 – Calico/Typha 9443 – Envoy-Messwerte 10250 – Kubelet-Knotenport |
Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben. |
Administratorcluster-Pod-CIDR |
Administratorcluster-Pod-CIDR |
Alle |
Beliebig |
Bei Inter-Pod-Traffic wird die L2-Weiterleitung direkt mit der Pod-CIDR durchgeführt. Kein Overlay. |
Administrator-Cluster-Knoten |
Administratorcluster-Pod-CIDR |
Alle |
Beliebig |
Externer Traffic wird auf dem ersten Knoten über SNATted an die Pod-IP gesendet. |
Administrator-Cluster-Pod CIDR |
Administratorcluster-Knoten |
Alle |
Beliebig |
Rücktraffic des externen Traffics |
Nutzercluster-Pod-CIDR |
Nutzercluster-Pod-CIDR |
Alle |
Beliebig |
Bei Inter-Pod-Traffic wird die L2-Weiterleitung direkt mit der Pod-CIDR durchgeführt. Kein Overlay. |
Nutzerclusterknoten |
Nutzercluster-Pod-CIDR |
Alle |
Beliebig |
Externer Traffic wird auf dem ersten Knoten über SNATted an die Pod-IP gesendet. |
Nutzer-Cluster-Pod CIDR |
Nutzercluster-Knoten |
Alle |
Beliebig |
Rücktraffic des externen Traffics |
Connect Agent, das auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com oauth2.googleapis.com accounts.google.com |
443 |
TCP/https |
|
Cloud Logging Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
oauth2.googleapis.com logging.googleapis.com Stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
Cloud Monitoring Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
oauth2.googleapis.com Monitoring.googleapis.com googleapis.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
Clients und Endnutzer einer Anwendung |
VIP des eingehenden Istio-Traffics |
80, 443 |
TCP |
Endnutzer-Traffic zum Dienst für eingehenden Traffic eines Nutzerclusters |
Jump-Server zum Bereitstellen der Administrator-Workstation |
check-api.hashicorp.com releases.hashicorp.com vCenter Server API ESXi-VMkernel-IP-Adressen (Hosts) im Zielcluster |
443 |
TCP/https |
Terraform-Bereitstellung der Administrator-Workstation |
Administrator-Workstation |
gcr.io *.googleusercontent.com *.googleapis.com *.k8s.io" |
443 |
TCP/https |
Docker-Images aus öffentlichen Docker-Registries herunterladen |
Administrator-Workstation |
vCenter Server API F5 BIG-IP API |
443 |
TCP/https |
Cluster-Bootstrapping |
Administrator-Workstation |
ESXi-VMkernel-IP-Adressen (Verwaltung) von Hosts im Zielcluster |
443 |
TCP/https |
Die Administrator-Workstation lädt die OVA über die ESXi-Hosts in den Datenspeicher hoch |
Administratorworkstation |
Knoten-IP der VM einer Administratorcluster-Steuerungsebene |
443 |
TCP/https |
Cluster-Bootstrapping |
Administrator-Workstation |
VIP des Kubernetes-API-Servers des Administratorclusters VIPs der Kubernetes-API-Server von Nutzerclustern |
443 |
TCP/https |
Cluster-Bootstrapping Nutzer-Cluster löschen |
Administratorworkstation |
Knoten und Worker-Knoten der Administratorcluster-Steuerungsebene |
443 |
TCP/https |
Cluster-Bootstrapping Aktualisierungen der Steuerungsebene |
Administrator-Workstation |
Alle Administratorcluster-Knoten und alle Nutzercluster-Knoten |
443 |
TCP/https |
Netzwerkvalidierung als Teil des Befehls |
Administrator-Workstation |
VIP des eingehenden Istio-Traffics des Administratorclusters VIP des eingehenden Istio-Traffics von Nutzerclustern |
443 |
TCP/https |
Netzwerkvalidierung als Teil des Befehls |
Administrator-Workstation |
IP-Adressen der Seesaw-LB-VMs in Administrator- und Nutzerclustern Seesaw-LB-VIPs von Administrator- und Nutzerclustern |
20256, 20258 |
TCP/http/gRPC |
Systemdiagnose von lokalen LBs. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden |
Administratorworkstation |
Knoten-IP der Administratorcluster-Steuerungsebene |
22 |
TCP |
Erforderlich, wenn Sie von der Administratorworkstation aus SSH-Zugriff auf die Administratorcluster-Steuerungsebene benötigen. |
Administratorcluster-Knoten |
IP-Adressen der Seesaw-LB-VMs des Administratorclusters |
20255, 20257 |
TCP/http |
LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden |
Nutzercluster-Knoten |
IP-Adressen der Seesaw-LB-VMs des Nutzerclusters |
20255, 20257 |
TCP/http |
LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden |
LB-VM-IP-Adressen |
Knoten-IP-Adressen des entsprechenden Clusters |
10256: Knoten-Systemdiagnose 30000 bis 32767: healthCheckNodePort |
TCP/http |
Knoten-Systemdiagnose. healthCheckNodePort ist für Dienste bestimmt, bei denen externalTrafficPolicy auf "Local" gesetzt ist. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden |
F5-Self-IP |
Alle Administrator- und Nutzercluster-Knoten |
30000 bis 32767 |
Beliebig |
Für den Traffic auf Datenebene, für den F5 BIG-IP über eine VIP eines virtuellen Servers ein Load-Balancing zu den Knotenports auf den Kubernetes-Clusterknoten durchführt In der Regel befindet sich die F5-Self-IP im selben Netzwerk/Subnetz wie die Kubernetes-Clusterknoten. |