Versione 1.5. Questa versione non è più supportata come descritto nelle norme relative al supporto delle versioni di Anthos. Per le patch e gli aggiornamenti più recenti per vulnerabilità di sicurezza, esposizioni e problemi che interessano i cluster Anthos su VMware (GKE on-prem), esegui l'upgrade a una versione supportata. La versione più recente è disponibile qui.

Versioni disponibili

Proxy e regole firewall

< Indietro

Indirizzi inclusi nella lista consentita per il proxy

Se la tua organizzazione richiede che il traffico in uscita passi attraverso un server proxy, aggiungi i seguenti indirizzi alla lista consentita. Tieni presente che è necessario l'elemento www.googleapis.com, anziché googleapis.com:

dl.google.com (obbligatorio dal programma di installazione di Google Cloud SDK)
gcr.io
www.googleapis.com
accounts.google.com
cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
iam.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
oauth2.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
storage.googleapis.com
checkpoint-api.hashicorp.com
releases.hashicorp.com

Se utilizzi gkeadm per installare GKE On-Prem, non devi consentire gli URL hashicorp sopra riportati.

Inoltre, se il tuo vCenter Server ha un indirizzo IP esterno, autorizzalo nel tuo server proxy.

Regole del firewall

Configura le regole firewall per consentire il seguente traffico.

Regole firewall per gli indirizzi IP disponibili nel cluster di amministrazione

Gli indirizzi IP disponibili nel cluster di amministrazione sono elencati nel file di blocco IP. Questi indirizzi IP vengono utilizzati per il nodo del piano di controllo del cluster di amministrazione, dei nodi aggiuntivi del cluster di amministrazione e del nodo del piano di controllo del cluster utente. Poiché gli indirizzi IP del cluster di amministrazione non sono assegnati a nodi specifici, devi assicurarti che tutte le regole firewall elencate nella tabella seguente si applichino a tutti gli indirizzi IP disponibili per il cluster di amministrazione.

Da	To	Porta	Protocollo	Descrizione
Nodo del piano di controllo del cluster di amministrazione	API vCenter Server	443	TCP/https	Ridimensionamento del cluster.
Nodi aggiuntivi del cluster di amministrazione	API vCenter Server	443	TCP/https	Gestione del ciclo di vita del cluster utente.
Nodo del piano di controllo del cluster utente	API vCenter Server	443	TCP/https	Ridimensionamento del cluster.
Il raccoglitore Cloud Logging, che viene eseguito su un nodo aggiuntivo del cluster di amministrazione	oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com www.googleapis.com	443	TCP/https
raccoglitore Cloud Monitoring, eseguito su un nodo aggiuntivo del cluster di amministrazione	oauth2.googleapis.com monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com	443	TCP/https
Nodo del piano di controllo del cluster di amministrazione	API BIG-IP di F5	443	TCP/https
Nodo del piano di controllo del cluster utente	API BIG-IP di F5	443	TCP/https
Nodo del piano di controllo del cluster di amministrazione	Registro Docker locale on-premise	Dipende dal registro	TCP/https	Obbligatorio se GKE On-Prem è configurato per utilizzare un registro Docker privato locale anziché gcr.io.
Nodo del piano di controllo del cluster utente	Registro Docker locale on-premise	Dipende dal registro	TCP/https	Obbligatorio se GKE On-Prem è configurato per utilizzare un registro Docker privato locale anziché gcr.io.
Nodo del piano di controllo del cluster di amministrazione	* gcr.io .googleusercontent.com .googleapis.com	443	TCP/https	Scarica immagini dai registri Docker pubblici. Non è necessario se utilizzi un registro Docker privato. `*.googleusercontent.com` è il nome canonico DNS di `gcr.io`.
Nodo del piano di controllo del cluster utente	* gcr.io .googleusercontent.com .googleapis.com	443	TCP/https	Scarica immagini dai registri Docker pubblici. Non è necessario se utilizzi un registro Docker privato. `*.googleusercontent.com` è il nome canonico DNS di `gcr.io`.
Nodi worker del cluster di amministrazione	Nodi worker del cluster di amministrazione	Tutto	179 - bgp 443 - https 5473 - Calico/Tifa 9443 - Metriche Envoy 10250 - Porta nodo kubelet	Tutti i nodi worker devono essere di livello 2 adiacenti e senza alcun firewall.
Nodi cluster di amministrazione	CIDR pod di cluster di amministrazione	tutte	tutte	Il traffico esterno riceve l'autenticazione SNAT sul primo nodo e viene inviato all'IP del pod.
Nodi worker del cluster di amministrazione	Nodi cluster utente	22	ssh	di API da kubelet per la comunicazione su un tunnel SSH.
Nodi cluster di amministrazione	IP delle VM di bilanciamento del carico di Seesaw del cluster di amministrazione	20255,20257	TCP/http	Monitoraggio delle metriche e del push della configurazione LB. Necessario solo se utilizzi Seesaw LB in bundle.

Regole firewall per i nodi del cluster utente

Nei nodi dei cluster utente, i relativi indirizzi IP sono elencati nel file di blocco IP.

Come per i nodi del cluster di amministrazione, non sai quale indirizzo IP verrà utilizzato per quale nodo. Pertanto, tutte le regole nei nodi del cluster utente si applicano a ogni nodo del cluster utente.

Da	To	Porta	Protocollo	Descrizione
Nodi worker del cluster utente	* gcr.io .googleusercontent.com .googleapis.com	443	TCP/https	Scarica immagini dai registri Docker pubblici. Non è necessario se utilizzi un registro Docker privato. `*.googleusercontent.com` è il nome canonico DNS di `gcr.io`.
Nodi worker del cluster utente	API BIG-IP di F5	443	TCP/https
Nodi worker del cluster utente	VIP del server pushprox, che viene eseguito nel cluster di amministrazione.	8443	TCP/https	Traffico di Prometheus.
Nodi worker del cluster utente	Nodi worker del cluster utente	tutte	22 - SSH 179 - bgp 443 - https 5473 - Calico-Tifa 9443 - metriche relative ai mittenti 10250 - Porta nodo kubelet"	Tutti i nodi worker devono essere di livello 2 adiacenti e senza alcun firewall.
Nodi cluster utente	CIDR pod utente	tutte	tutte	Il traffico esterno riceve l'autenticazione SNAT sul primo nodo e viene inviato all'IP del pod.
raccoglitore Cloud Logging, che viene eseguito su un nodo worker cluster di utenti casuali	oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com www.googleapis.com	443	TCP/https
Collega l'agente, che viene eseguito su un nodo worker del cluster utente casuale.	gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com oauth2.googleapis.com accounts.google.com	443	TCP/https	Connetti il traffico.
raccoglitore Cloud Monitoring, eseguito su un nodo worker cluster utente casuale	oauth2.googleapis.com monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com	443	TCP/https
Nodi cluster utente	IP delle VM di bilanciamento del carico di Seesaw del cluster utente	20255,20257	TCP/http	Monitoraggio delle metriche e del push della configurazione LB. Necessario solo se utilizzi Seesaw LB in bundle.

Regole firewall per i componenti rimanenti

Queste regole si applicano a tutti gli altri componenti non elencati nelle tabelle per il cluster di amministrazione e i nodi del cluster utente.

Da	To	Porta	Protocollo	Descrizione
CIDR pod di cluster di amministrazione	CIDR pod di cluster di amministrazione	tutte	tutte	Il traffico tra i pod esegue l'inoltro L2 direttamente utilizzando l'IP di origine e di destinazione all'interno del CIDR del pod.
CIDR pod di cluster di amministrazione	Nodi cluster di amministrazione	tutte	tutte	Traffico di ritorno del traffico esterno.
CIDR pod utente	CIDR pod utente	tutte	tutte	Il traffico tra i pod esegue l'inoltro L2 direttamente utilizzando l'IP di origine e di destinazione all'interno del CIDR del pod.
CIDR pod utente	Nodi cluster utente	tutte	tutte	Traffico di ritorno del traffico esterno.
Client e utenti finali dell'applicazione	VIP di Istio in entrata	80, 443	TCP	Traffico utente finale verso il servizio in entrata di un cluster utente.
Salta il server per eseguire il deployment della workstation di amministrazione	checkpoint-api.hashicorp.com release.hashicorp.com API vCenter Server IP VMkernel ESXi (mgt) degli host nel cluster di destinazione	443	TCP/https	Deployment Terraform della workstation di amministrazione.
Workstation di amministrazione	* gcr.io .googleusercontent.com .googleapis.com	443	TCP/https	Scarica immagini Docker da registri Docker pubblici. `*.googleusercontent.com` è il nome canonico DNS di `gcr.io`.
Workstation di amministrazione	API vCenter Server API BIG-IP di F5	443	TCP/https	bootstrap del cluster.
Workstation di amministrazione	IP ESXi VMkernel (mgt) degli host nel cluster di destinazione	443	TCP/https	La workstation di amministrazione carica l'OVA sul datastore tramite gli host ESXi.
Workstation di amministrazione	IP del nodo della VM del piano di controllo del cluster di amministrazione	443	TCP/https	bootstrap del cluster.
Workstation di amministrazione	VIP del server API di Kubernetes del cluster di amministrazione VIP dei server API Kubernetes dei cluster utente	443	TCP/https	bootstrap del cluster. Eliminazione del cluster utente.
Workstation di amministrazione	Nodo del piano di controllo del cluster di amministrazione e nodi worker	443	TCP/https	bootstrap del cluster. Upgrade del piano di controllo.
Workstation di amministrazione	Tutti i nodi del cluster di amministrazione e tutti i nodi del cluster utente	443	TCP/https	Convalida della rete come parte del comando `gkectl check-config`.
Workstation di amministrazione	VIP del traffico Ingress Ingress del cluster di amministrazione VIP del traffico Istio in entrata dei cluster utente	443	TCP/https	Convalida della rete come parte del comando `gkectl check-config`.
Workstation di amministrazione	IP delle VM di bilanciamento del carico di Seesaw nei cluster amministratore e utente Visualizza i VIP LB dei cluster di amministrazione e degli utenti	20256,20258	TCP/http/gRPC	Controllo di integrità delle libbre. Necessario solo se utilizzi l'alimentatore Seesaw in bundle.
Workstation di amministrazione	IP del nodo del piano di controllo del cluster di amministrazione	22	TCP	Obbligatorio se hai bisogno dell'accesso SSH dalla workstation di amministrazione al piano di controllo del cluster di amministrazione.
IP VM LB	IP dei nodi del cluster corrispondente	10256: controllo di integrità del nodo 30000 - 32767: healthCheckNodePort	TCP/http	Controllo di integrità del nodo. healthCheckNodePort è destinato ai servizi con externalTrafficPolicy impostato su Local. Necessario solo se utilizzi l'alimentatore Seesaw in bundle.
Self-IP F5	Tutti i nodi amministratore e tutti i nodi cluster utente	30.000-32.767	tutte	Per il traffico del piano dati che il carico BIG-IP di F5 bilancia tramite un VIP del server virtuale per le porte dei nodi sui cluster Kubernetes. In genere l'autoip F5 si trova sulla stessa rete/subnet dei nodi del cluster Kubernetes.

< Precedente Avanti >