Indirizzi inclusi nella lista consentita per il proxy
Se la tua organizzazione richiede che il traffico in uscita passi attraverso un server proxy, aggiungi i seguenti indirizzi alla lista consentita. Tieni presente che è necessario l'elemento www.googleapis.com
, anziché googleapis.com
:
- dl.google.com (obbligatorio dal programma di installazione di Google Cloud SDK)
- gcr.io
- www.googleapis.com
- accounts.google.com
- cloudresourcemanager.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com
- gkehub.googleapis.com
- iam.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- checkpoint-api.hashicorp.com
- releases.hashicorp.com
Se utilizzi gkeadm
per installare GKE On-Prem, non devi
consentire gli URL hashicorp sopra riportati.
Inoltre, se il tuo vCenter Server ha un indirizzo IP esterno, autorizzalo nel tuo server proxy.
Regole del firewall
Configura le regole firewall per consentire il seguente traffico.
Regole firewall per gli indirizzi IP disponibili nel cluster di amministrazione
Gli indirizzi IP disponibili nel cluster di amministrazione sono elencati nel file di blocco IP. Questi indirizzi IP vengono utilizzati per il nodo del piano di controllo del cluster di amministrazione, dei nodi aggiuntivi del cluster di amministrazione e del nodo del piano di controllo del cluster utente. Poiché gli indirizzi IP del cluster di amministrazione non sono assegnati a nodi specifici, devi assicurarti che tutte le regole firewall elencate nella tabella seguente si applichino a tutti gli indirizzi IP disponibili per il cluster di amministrazione.
Da |
To |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|
Nodo del piano di controllo del cluster di amministrazione |
API vCenter Server |
443 |
TCP/https |
Ridimensionamento del cluster. |
Nodi aggiuntivi del cluster di amministrazione |
API vCenter Server |
443 |
TCP/https |
Gestione del ciclo di vita del cluster utente. |
Nodo del piano di controllo del cluster utente |
API vCenter Server |
443 |
TCP/https |
Ridimensionamento del cluster. |
Il raccoglitore Cloud Logging, che viene eseguito su un nodo aggiuntivo del cluster di amministrazione |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
raccoglitore Cloud Monitoring, eseguito su un nodo aggiuntivo del cluster di amministrazione |
oauth2.googleapis.com monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
Nodo del piano di controllo del cluster di amministrazione |
API BIG-IP di F5 |
443 |
TCP/https |
|
Nodo del piano di controllo del cluster utente |
API BIG-IP di F5 |
443 |
TCP/https |
|
Nodo del piano di controllo del cluster di amministrazione |
Registro Docker locale on-premise |
Dipende dal registro |
TCP/https |
Obbligatorio se GKE On-Prem è configurato per utilizzare un registro Docker privato locale anziché gcr.io. |
Nodo del piano di controllo del cluster utente |
Registro Docker locale on-premise |
Dipende dal registro |
TCP/https |
Obbligatorio se GKE On-Prem è configurato per utilizzare un registro Docker privato locale anziché gcr.io. |
Nodo del piano di controllo del cluster di amministrazione |
* gcr.io *.googleusercontent.com *.googleapis.com |
443 |
TCP/https |
Scarica immagini dai registri Docker pubblici. Non è necessario se utilizzi un registro Docker privato.
|
Nodo del piano di controllo del cluster utente |
* gcr.io *.googleusercontent.com *.googleapis.com |
443 |
TCP/https |
Scarica immagini dai registri Docker pubblici. Non è necessario se utilizzi un registro Docker privato.
|
Nodi worker del cluster di amministrazione |
Nodi worker del cluster di amministrazione |
Tutto |
179 - bgp 443 - https 5473 - Calico/Tifa 9443 - Metriche Envoy 10250 - Porta nodo kubelet |
Tutti i nodi worker devono essere di livello 2 adiacenti e senza alcun firewall. |
Nodi cluster di amministrazione |
CIDR pod di cluster di amministrazione |
tutte |
tutte |
Il traffico esterno riceve l'autenticazione SNAT sul primo nodo e viene inviato all'IP del pod. |
Nodi worker del cluster di amministrazione |
Nodi cluster utente |
22 |
ssh |
di API da kubelet per la comunicazione su un tunnel SSH. |
Nodi cluster di amministrazione |
IP delle VM di bilanciamento del carico di Seesaw del cluster di amministrazione |
20255,20257 |
TCP/http |
Monitoraggio delle metriche e del push della configurazione LB. Necessario solo se utilizzi Seesaw LB in bundle. |
Regole firewall per i nodi del cluster utente
Nei nodi dei cluster utente, i relativi indirizzi IP sono elencati nel file di blocco IP.
Come per i nodi del cluster di amministrazione, non sai quale indirizzo IP verrà utilizzato per quale nodo. Pertanto, tutte le regole nei nodi del cluster utente si applicano a ogni nodo del cluster utente.
Da |
To |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|
Nodi worker del cluster utente |
* gcr.io *.googleusercontent.com *.googleapis.com |
443 |
TCP/https |
Scarica immagini dai registri Docker pubblici. Non è necessario se utilizzi un registro Docker privato.
|
Nodi worker del cluster utente |
API BIG-IP di F5 |
443 |
TCP/https |
|
Nodi worker del cluster utente |
VIP del server pushprox, che viene eseguito nel cluster di amministrazione. |
8443 |
TCP/https |
Traffico di Prometheus. |
Nodi worker del cluster utente |
Nodi worker del cluster utente |
tutte |
22 - SSH 179 - bgp 443 - https 5473 - Calico-Tifa 9443 - metriche relative ai mittenti 10250 - Porta nodo kubelet" |
Tutti i nodi worker devono essere di livello 2 adiacenti e senza alcun firewall. |
Nodi cluster utente |
CIDR pod utente |
tutte |
tutte |
Il traffico esterno riceve l'autenticazione SNAT sul primo nodo e viene inviato all'IP del pod. |
raccoglitore Cloud Logging, che viene eseguito su un nodo worker cluster di utenti casuali |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
Collega l'agente, che viene eseguito su un nodo worker del cluster utente casuale. |
gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com oauth2.googleapis.com accounts.google.com |
443 |
TCP/https |
Connetti il traffico. |
raccoglitore Cloud Monitoring, eseguito su un nodo worker cluster utente casuale |
oauth2.googleapis.com monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
Nodi cluster utente |
IP delle VM di bilanciamento del carico di Seesaw del cluster utente |
20255,20257 |
TCP/http |
Monitoraggio delle metriche e del push della configurazione LB. Necessario solo se utilizzi Seesaw LB in bundle. |
Regole firewall per i componenti rimanenti
Queste regole si applicano a tutti gli altri componenti non elencati nelle tabelle per il cluster di amministrazione e i nodi del cluster utente.
Da |
To |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|
CIDR pod di cluster di amministrazione |
CIDR pod di cluster di amministrazione |
tutte |
tutte |
Il traffico tra i pod esegue l'inoltro L2 direttamente utilizzando l'IP di origine e di destinazione all'interno del CIDR del pod. |
CIDR pod di cluster di amministrazione |
Nodi cluster di amministrazione |
tutte |
tutte |
Traffico di ritorno del traffico esterno. |
CIDR pod utente |
CIDR pod utente |
tutte |
tutte |
Il traffico tra i pod esegue l'inoltro L2 direttamente utilizzando l'IP di origine e di destinazione all'interno del CIDR del pod. |
CIDR pod utente |
Nodi cluster utente |
tutte |
tutte |
Traffico di ritorno del traffico esterno. |
Client e utenti finali dell'applicazione |
VIP di Istio in entrata |
80, 443 |
TCP |
Traffico utente finale verso il servizio in entrata di un cluster utente. |
Salta il server per eseguire il deployment della workstation di amministrazione |
checkpoint-api.hashicorp.com release.hashicorp.com API vCenter Server IP VMkernel ESXi (mgt) degli host nel cluster di destinazione |
443 |
TCP/https |
Deployment Terraform della workstation di amministrazione. |
Workstation di amministrazione |
* gcr.io *.googleusercontent.com *.googleapis.com |
443 |
TCP/https |
Scarica immagini Docker da registri Docker pubblici.
|
Workstation di amministrazione |
API vCenter Server API BIG-IP di F5 |
443 |
TCP/https |
bootstrap del cluster. |
Workstation di amministrazione |
IP ESXi VMkernel (mgt) degli host nel cluster di destinazione |
443 |
TCP/https |
La workstation di amministrazione carica l'OVA sul datastore tramite gli host ESXi. |
Workstation di amministrazione |
IP del nodo della VM del piano di controllo del cluster di amministrazione |
443 |
TCP/https |
bootstrap del cluster. |
Workstation di amministrazione |
VIP del server API di Kubernetes del cluster di amministrazione VIP dei server API Kubernetes dei cluster utente |
443 |
TCP/https |
bootstrap del cluster. Eliminazione del cluster utente. |
Workstation di amministrazione |
Nodo del piano di controllo del cluster di amministrazione e nodi worker |
443 |
TCP/https |
bootstrap del cluster. Upgrade del piano di controllo. |
Workstation di amministrazione |
Tutti i nodi del cluster di amministrazione e tutti i nodi del cluster utente |
443 |
TCP/https |
Convalida della rete come parte del comando |
Workstation di amministrazione |
VIP del traffico Ingress Ingress del cluster di amministrazione VIP del traffico Istio in entrata dei cluster utente |
443 |
TCP/https |
Convalida della rete come parte del comando |
Workstation di amministrazione |
IP delle VM di bilanciamento del carico di Seesaw nei cluster amministratore e utente Visualizza i VIP LB dei cluster di amministrazione e degli utenti |
20256,20258 |
TCP/http/gRPC |
Controllo di integrità delle libbre. Necessario solo se utilizzi l'alimentatore Seesaw in bundle. |
Workstation di amministrazione |
IP del nodo del piano di controllo del cluster di amministrazione |
22 |
TCP |
Obbligatorio se hai bisogno dell'accesso SSH dalla workstation di amministrazione al piano di controllo del cluster di amministrazione. |
IP VM LB |
IP dei nodi del cluster corrispondente |
10256: controllo di integrità del nodo 30000 - 32767: healthCheckNodePort |
TCP/http |
Controllo di integrità del nodo. healthCheckNodePort è destinato ai servizi con externalTrafficPolicy impostato su Local. Necessario solo se utilizzi l'alimentatore Seesaw in bundle. |
Self-IP F5 |
Tutti i nodi amministratore e tutti i nodi cluster utente |
30.000-32.767 |
tutte |
Per il traffico del piano dati che il carico BIG-IP di F5 bilancia tramite un VIP del server virtuale per le porte dei nodi sui cluster Kubernetes. In genere l'autoip F5 si trova sulla stessa rete/subnet dei nodi del cluster Kubernetes. |