Versión 1.5. Esta versión ya no es compatible como se describe en la política de compatibilidad de versiones de Anthos. Para obtener los últimos parches y actualizaciones de vulnerabilidades de seguridad, exposiciones y problemas que afectan a clústeres de Anthos alojados en VMware (GKE On-Prem), actualiza a una versión compatible. Puedes encontrar la versión más reciente aquí.

Versiones disponibles

Reglas de proxy y firewall

< Anterior

Agrega direcciones de tu proxy a la lista de anunciantes permitidos

Si la organización requiere que el tráfico saliente pase a través de un servidor proxy, incluye en la lista de entidades permitidas las siguientes direcciones en el servidor proxy. Ten en cuenta que se necesita www.googleapis.com, en lugar de googleapis.com:

dl.google.com (requerido por el instalador del SDK de Google Cloud)
gcr.io
www.googleapis.com
accounts.google.com
cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
iam.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
oauth2.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
storage.googleapis.com
checkpoint-api.hashicorp.com
releases.hashicorp.com

Si usas gkeadm para instalar GKE On-Prem, no necesitas incluir en la lista de entidades permitidas las URL de hashicorp anteriores.

Además, si tu vCenter Server tiene una dirección IP externa, incluye en la lista de anunciantes permitidos su dirección en el servidor proxy.

Reglas de firewall

Configura las reglas de firewall para permitir el siguiente tráfico.

Reglas de firewall para las direcciones IP disponibles en el clúster de administrador

Las direcciones IP disponibles en el clúster de administrador se enumeran en el archivo de bloque de IP. Estas direcciones IP se usan para el nodo de plano de control del clúster de administrador, los nodos de complemento del clúster de administrador y el nodo de plano de control del clúster de usuario. Como las direcciones IP del clúster de administrador no se asignan a nodos específicos, debes asegurarte de que todas las reglas de firewall que se indican en la siguiente tabla se apliquen a todas las direcciones IP disponibles para el clúster de administrador.

Desde	A	Puerto	Protocolo	Descripción
Nodo del plano de control del clúster de administrador	API del servidor de vCenter	443	TCP/https	Cambio del tamaño del clúster
Nodos de complemento del clúster de administrador	API del servidor de vCenter	443	TCP/https	Administración del ciclo de vida del clúster de usuario.
Nodo del plano de control del clúster de usuario	API del servidor de vCenter	443	TCP/https	Cambio del tamaño del clúster
Recopilador de Cloud Logging, que se ejecuta en un nodo complementario del clúster del administrador	oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com www.googleapis.com	443	TCP/https
Recopilador de Cloud Monitoring, que se ejecuta en un nodo complementario del clúster del administrador	oauth2.googleapis.com monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com	443	TCP/https
Nodo del plano de control del clúster de administrador	API de BIG-IP de F5	443	TCP/https
Nodo del plano de control del clúster de usuario	API de BIG-IP de F5	443	TCP/https
Nodo del plano de control del clúster de administrador	Registro local de Docker	Depende del registro	TCP/https	Es obligatorio si los clústeres de Anthos alojados en VMware están configurados para usar un registro de Docker privado local en lugar de gcr.io.
Nodo del plano de control del clúster de usuario	Registro local de Docker	Depende del registro	TCP/https	Es obligatorio si los clústeres de Anthos alojados en VMware están configurados para usar un registro de Docker privado local en lugar de gcr.io.
Nodo del plano de control del clúster de administrador	* gcr.io .googleusercontent.com .googleapis.com	443	TCP/https	Descarga imágenes de registros públicos de Docker. No es necesario si se usa un registro privado de Docker. `*.googleusercontent.com` es el nombre de DNS canónico de `gcr.io`.
Nodo del plano de control del clúster de usuario	* gcr.io .googleusercontent.com .googleapis.com	443	TCP/https	Descarga imágenes de registros públicos de Docker. No es necesario si se usa un registro privado de Docker. `*.googleusercontent.com` es el nombre de DNS canónico de `gcr.io`.
Nodos trabajadores del clúster de administrador	Nodos trabajadores del clúster de administrador	Todos	179: bgp 443: https 5473: Calico/Typha 9443: Métricas de Envoy 10250: Puerto de nodo de kubelet	Todos los nodos trabajadores deben ser adyacentes a la capa 2 y no deben tener ningún firewall.
Nodos del clúster del administrador	CIDR del Pod del clúster de administrador	todos	cualquiera	Se aplica SNAT al tráfico externo en el primer nodo y se envía a la IP del pod.
Nodos trabajadores del clúster de administrador	Nodos del clúster de usuarios	22	ssh	Comunicación entre el servidor de API y kubelet a través de un túnel SSH.
Nodos del clúster del administrador	IP de las VM de los balanceadores de cargas de Seesaw del clúster del administrador	20255, 20257	TCP/http	Supervisión de métricas y envío de la configuración del balanceador de cargas. Solo es necesaria si usas el paquete de los balanceadores de cargas de Seesaw.

Reglas de firewall para los nodos del clúster de usuario

En los nodos del clúster de usuario, sus direcciones IP se enumeran en el archivo de bloque de IP.

Al igual que con los nodos del clúster de administrador, no sabes qué dirección IP se usará para cada nodo. Por lo tanto, todas las reglas de los nodos de los clústeres de usuario se aplican a cada nodo de clúster de usuario.

Desde	A	Puerto	Protocolo	Descripción
Nodos trabajadores del clúster de usuarios	* gcr.io .googleusercontent.com .googleapis.com	443	TCP/https	Descarga imágenes de registros públicos de Docker. No es necesario si se usa un registro privado de Docker. `*.googleusercontent.com` es el nombre de DNS canónico de `gcr.io`.
Nodos trabajadores del clúster de usuarios	API de BIG-IP de F5	443	TCP/https
Nodos trabajadores del clúster de usuarios	VIP del servidor de PushProx, que se ejecuta en el clúster del administrador.	8443	TCP/https	Tráfico de Prometheus
Nodos trabajadores del clúster de usuarios	Nodos trabajadores del clúster de usuarios	todos	22: ssh 179: bgp 443: https 5473: calico-typha 9443: Métricas de Envoy 10250: Puerto de nodo de kubelet	Todos los nodos trabajadores deben ser adyacentes a la capa 2 y no deben tener ningún firewall.
Nodos del clúster de usuario	CIDR del pod del clúster de usuario	todos	cualquiera	Se aplica SNAT al tráfico externo en el primer nodo y se envía a la IP del pod.
Recopilador de Cloud Logging, que se ejecuta en un nodo trabajador aleatorio del clúster de usuarios	oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com www.googleapis.com	443	TCP/https
Agente de Connect, que se ejecuta en un nodo trabajador aleatorio del clúster de usuarios.	gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com oauth2.googleapis.com accounts.google.com	443	TCP/https	Tráfico de Connect.
Recopilador de Cloud Monitoring, que se ejecuta en un nodo trabajador aleatorio del clúster de usuarios	oauth2.googleapis.com monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com	443	TCP/https
Nodos del clúster de usuario	IP de las VM de los balanceadores de cargas de Seesaw del clúster de usuarios	20255, 20257	TCP/http	Supervisión de métricas y envío de la configuración del balanceador de cargas. Solo es necesaria si usas el paquete de los balanceadores de cargas de Seesaw.

Reglas de firewall para los componentes restantes

Estas reglas se aplican a todos los demás componentes que no aparecen en las tablas del clúster de administrador y los nodos del clúster de usuario.

Desde	A	Puerto	Protocolo	Descripción
CIDR del Pod del clúster de administrador	CIDR del Pod del clúster de administrador	todos	cualquiera	El tráfico entre pods realiza el reenvío de L2 directamente mediante la IP de origen y de destino dentro del CIDR del pod.
CIDR del Pod del clúster de administrador	Nodos del clúster del administrador	todos	cualquiera	Muestra el tráfico externo.
CIDR del pod del clúster de usuario	CIDR del pod del clúster de usuario	todos	cualquiera	El tráfico entre pods realiza el reenvío de L2 directamente mediante la IP de origen y de destino dentro del CIDR del pod.
CIDR del pod del clúster de usuario	Nodos del clúster de usuarios	todos	cualquiera	Muestra el tráfico externo.
Clientes y usuarios finales de la aplicación	VIP de entrada de Istio	80, 443	TCP	Tráfico del usuario final al servicio de entrada de un clúster de usuarios
Servidor de Jump para implementar la estación de trabajo del administrador	checkpoint-api.hashicorp.com releases.hashicorp.com API de vCenter Server IP de VMkernel de ESXi (mgt) de hosts en el clúster de destino	443	TCP/https	Implementación de Terraform de la estación de trabajo del administrador
Estación de trabajo de administrador	* gcr.io .googleusercontent.com .googleapis.com	443	TCP/https	Descarga imágenes de Docker de registros públicos de Docker. `*.googleusercontent.com` es el nombre de DNS canónico de `gcr.io`.
Estación de trabajo de administrador	API del servidor de vCenter API de BIG-IP de F5	443	TCP/https	Inicio del clúster
Estación de trabajo del administrador	IP de VMkernel de ESXi (mgt) de hosts en el clúster de destino	443	TCP/https	La estación de trabajo de administrador sube el OVA al almacén de datos a través de los hosts ESXi.
Estación de trabajo de administrador	IP de nodo de la VM del plano de control del clúster de administrador	443	TCP/https	Inicio del clúster
Estación de trabajo del administrador	VIP del servidor de la API de Kubernetes del clúster de administrador VIP de los servidores de la API de Kubernetes de los clústeres de usuarios	443	TCP/https	Inicio del clúster Eliminación de clústeres de usuarios
Estación de trabajo de administrador	Nodos trabajadores y nodo del plano de control del clúster de administrador	443	TCP/https	Inicio del clúster Actualizaciones del plano de control
Estación de trabajo del administrador	Todos los nodos del clúster del administrador y todos los nodos del clúster de usuarios	443	TCP/https	Validación de red como parte del comando `gkectl check-config`
Estación de trabajo del administrador	VIP de la entrada de Istio del clúster del administrador VIP de entrada de Istio de clústeres de usuarios	443	TCP/https	Validación de red como parte del comando `gkectl check-config`
Estación de trabajo del administrador	IP de las VM de los balanceadores de cargas de Seesaw en los clústeres del administrador y de usuarios VIP de los balanceadores de cargas de Seesaw de los clústeres del administrador y de usuarios	20256, 20258	TCP/http/gRPC	Verificación de estado de los balanceadores de cargas. Solo es necesaria si usas el paquete de los balanceadores de cargas de Seesaw.
Estación de trabajo de administrador	IP de nodo del plano de control del clúster de administrador	22	TCP	Es obligatorio si necesitas acceso SSH desde la estación de trabajo de administrador al plano de control del clúster de administrador.
IP de las VM del balanceador de cargas	IP del nodo del clúster correspondiente	10256: verificación de estado del nodo 30000 - 32767: healthCheckNodePort	TCP/http	Verificación de estado del nodo. healthCheckNodePort es para servicios que tienen externalTrafficPolicy configurada como Local. Solo es necesaria si usas el paquete de los balanceadores de cargas de Seesaw.
Auto-IP F5	Todos los nodos del clúster del administrador y del usuario	30000: 32767	cualquiera	Para el tráfico del plano de datos que BIG-IP de F5 balancea a través de un servidor virtual VIP a los puertos del nodo en los nodos del clúster de Kubernetes. Por lo general, la auto-IP F5 está en la misma red o subred que los nodos del clúster de Kubernetes.

< Anterior Siguiente >