Adressen für Ihren Proxy auf die Zulassungsliste setzen
Wenn in Ihrer Organisation ausgehender Traffic einen Proxyserver passieren muss, setzen Sie die folgenden Adressen auf die Zulassungsliste für den Proxyserver: Beachten Sie, dass www.googleapis.com
anstelle von googleapis.com
benötigt wird:
- dl.google.com (vom Google Cloud SDK-Installationsprogramm erforderlich)
- gcr.io
- www.googleapis.com
- accounts.google.com
- cloudresourcemanager.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com
- gkehub.googleapis.com
- iam.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- checkpoint-api.hashicorp.com
- releases.hashicorp.com
Wenn Sie gkeadm
zum Installieren von GKE On-Prem verwenden, müssen Sie die hashicorp-URLs oben nicht auf die Zulassungsliste aufnehmen.
Wenn außerdem Ihr vCenter-Server eine externe IP-Adresse hat, setzen Sie diese Adresse auf die Zulassungsliste für den Proxyserver.
Firewallregeln
Richten Sie Ihre Firewallregeln so ein, dass der folgende Traffic zugelassen wird.
Firewallregeln für im Admin-Cluster verfügbare IP-Adressen
Die im Administratorcluster verfügbaren IP-Adressen sind in der IP-Blockdatei aufgeführt. Diese IP-Adressen werden für den Knoten der Administrator-Steuerungsebene, die Add-on-Knoten des Administratorclusters und den Knoten der Steuerungsebene des Nutzerclusters verwendet. Da die IP-Adressen für den Administratorcluster bestimmten Knoten nicht zugewiesen sind, müssen Sie dafür sorgen, dass alle in der folgenden Tabelle aufgeführten Firewallregeln für alle IP-Adressen gelten, die für den Administratorcluster verfügbar sind.
Von |
An |
Port |
Protokoll |
Beschreibung |
---|---|---|---|---|
Knoten der Administratorcluster-Steuerungsebene |
vCenter Server API |
443 |
TCP/https |
Größenanpassung für Cluster |
Add-on-Knoten für Administratorcluster |
vCenter Server API |
443 |
TCP/https |
Verwaltung des Nutzercluster-Lebenszyklus. |
Knoten der Nutzercluster-Steuerungsebene |
vCenter Server API |
443 |
TCP/https |
Größenanpassung für Cluster |
Cloud Logging Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
Cloud Monitoring Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird |
oauth2.googleapis.com monitoring.googleapis.com Stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
Knoten der Administratorcluster-Steuerungsebene |
F5 BIG-IP API |
443 |
TCP/https |
|
Knoten der Nutzercluster-Steuerungsebene |
F5 BIG-IP API |
443 |
TCP/https |
|
Knoten der Administratorcluster-Steuerungsebene |
Lokale Docker-Registry |
Hängt von Ihrer Registry ab |
TCP/https |
Erforderlich, wenn GKE On-Prem für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist |
Knoten der Nutzercluster-Steuerungsebene |
Lokale Docker-Registry |
Hängt von Ihrer Registry ab |
TCP/https |
Erforderlich, wenn GKE On-Prem für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist |
Knoten der Administratorcluster-Steuerungsebene |
* gcr.io *.googleusercontent.com *.googleapis.com |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird
|
Knoten der Nutzercluster-Steuerungsebene |
* gcr.io *.googleusercontent.com *.googleapis.com |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird
|
Administratorcluster-Worker-Knoten |
Administratorcluster-Worker-Knoten |
Alle |
179 – bgp 443 – https 5473 – Calico/Typha 9443 – Envoy-Messwerte 10250 – Kubelet-Knotenport |
Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben. |
Administratorcluster-Knoten |
Administratorcluster-Pod-CIDR |
all |
Beliebig |
Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet. |
Administratorcluster-Worker-Knoten |
Nutzercluster-Knoten |
22 |
ssh |
API-Server für Kubelet-Kommunikation über einen SSH-Tunnel. |
Administratorcluster-Knoten |
IP-Adressen der Seesaw-LB-VMs des Administratorclusters |
20255, 20257 |
TCP/http |
LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden |
Firewallregeln für Nutzerclusterknoten
Die IP-Adressen der Nutzercluster werden in der IP-Blockdatei aufgeführt.
Wie bei den Knoten eines Administratorclusters wissen Sie nicht, welche IP-Adresse für welchen Knoten verwendet wird. Folglich gelten alle Regeln in den Nutzerclusterknoten für jeden Nutzerclusterknoten.
Von |
An |
Port |
Protokoll |
Beschreibung |
---|---|---|---|---|
Nutzercluster-Worker-Knoten |
* gcr.io *.googleusercontent.com *.googleapis.com |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird
|
Nutzercluster-Worker-Knoten |
F5 BIG-IP API |
443 |
TCP/https |
|
Nutzercluster-Worker-Knoten |
VIP des pushprox-Servers, der im Administratorcluster ausgeführt wird |
8443 |
TCP/https |
Prometheus-Traffic |
Nutzercluster-Worker-Knoten |
Nutzercluster-Worker-Knoten |
all |
22 – ssh 179 – bgp 443 – https 5473 – Calico/Typha 9443 – Envoy-Messwerte 10250 – Kubelet-Knotenport |
Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben. |
Nutzerclusterknoten |
Nutzercluster-Pod-CIDR |
all |
Beliebig |
Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet. |
Cloud Logging Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
Connect Agent, das auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com oauth2.googleapis.com accounts.google.com |
443 |
TCP/https |
|
Cloud Monitoring Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
oauth2.googleapis.com monitoring.googleapis.com Stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
Nutzerclusterknoten |
IP-Adressen der Seesaw-LB-VMs des Nutzerclusters |
20255, 20257 |
TCP/http |
LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden |
Firewallregeln für die verbleibenden Komponenten
Diese Regeln gelten für alle anderen Komponenten, die in den Tabellen für den Administratorcluster und die Nutzerclusterknoten nicht aufgeführt sind.
Von |
An |
Port |
Protokoll |
Beschreibung |
---|---|---|---|---|
Administratorcluster-Pod-CIDR |
Administratorcluster-Pod-CIDR |
all |
Beliebig |
Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR. |
Administratorcluster-Pod-CIDR |
Administratorcluster-Knoten |
all |
Beliebig |
Rücktraffic des externen Traffics |
Nutzercluster-Pod-CIDR |
Nutzercluster-Pod-CIDR |
all |
Beliebig |
Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR. |
Nutzercluster-Pod-CIDR |
Nutzercluster-Knoten |
all |
Beliebig |
Rücktraffic des externen Traffics |
Clients und Endnutzer von Anwendungen |
VIP des eingehenden Istio-Traffics |
80, 443 |
TCP |
Endnutzer-Traffic zum Dienst für eingehenden Traffic eines Nutzerclusters |
Jump-Server zum Bereitstellen der Administrator-Workstation |
check-api.hashicorp.com release.hashicorp.com vCenter Server API ESXi VMkernel (mgt) IP-Adressen von Hosts im Zielcluster |
443 |
TCP/https |
Terraform-Bereitstellung der Administrator-Workstation |
Administratorworkstation |
* gcr.io *.googleusercontent.com *.googleapis.com |
443 |
TCP/https |
Docker-Images aus öffentlichen Docker-Registries herunterladen
|
Administratorworkstation |
vCenter Server API F5 BIG-IP API |
443 |
TCP/https |
Cluster-Bootstrapping |
Administrator-Workstation |
ESXi-VMkernel-IP-Adressen (Verwaltung) von Hosts im Zielcluster |
443 |
TCP/https |
Die Administrator-Workstation lädt die OVA-Datei über die ESXi-Hosts in den Datenspeicher hoch. |
Administratorworkstation |
Knoten-IP der VM einer Administratorcluster-Steuerungsebene |
443 |
TCP/https |
Cluster-Bootstrapping |
Administrator-Workstation |
VIP des Kubernetes-API-Servers des Administratorclusters VIPs der Kubernetes-API-Server von Nutzerclustern |
443 |
TCP/https |
Cluster-Bootstrapping Nutzercluster löschen |
Administratorworkstation |
Knoten und Worker-Knoten der Administratorcluster-Steuerungsebene |
443 |
TCP/https |
Cluster-Bootstrapping Aktualisierungen der Steuerungsebene |
Administrator-Workstation |
Alle Administratorcluster-Knoten und alle Nutzercluster-Knoten |
443 |
TCP/https |
Netzwerkvalidierung als Teil des Befehls |
Administrator-Workstation |
VIP des eingehenden Istio-Traffics des Administratorclusters VIP des eingehenden Istio-Traffics von Nutzerclustern |
443 |
TCP/https |
Netzwerkvalidierung als Teil des Befehls |
Administrator-Workstation |
IP-Adressen der Seesaw-LB-VMs in Administrator- und Nutzerclustern Seesaw-LB-VIPs von Administrator- und Nutzerclustern |
20256, 20258 |
TCP/http/gRPC |
Systemdiagnose von lokalen LBs. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden |
Administratorworkstation |
Knoten-IP der Administratorcluster-Steuerungsebene |
22 |
TCP |
Erforderlich, wenn Sie von der Administratorworkstation aus SSH-Zugriff auf die Administratorcluster-Steuerungsebene benötigen. |
LB-VM-IP-Adressen |
Knoten-IP-Adressen des entsprechenden Clusters |
10256: Knoten-Systemdiagnose 30000 bis 32767: healthCheckNodePort |
TCP/http |
Knoten-Systemdiagnose. healthCheckNodePort ist für Dienste bestimmt, bei denen externalTrafficPolicy auf "Local" gesetzt ist. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden |
F5-Self-IP |
Alle Administrator- und Nutzercluster-Knoten |
30000 bis 32767 |
Beliebig |
Für den Traffic auf Datenebene, für den F5 BIG-IP über eine VIP eines virtuellen Servers ein Load-Balancing zu den Knotenports auf den Kubernetes-Clusterknoten durchführt In der Regel befindet sich die F5-Self-IP im selben Netzwerk/Subnetz wie die Kubernetes-Clusterknoten. |