Version 1.6. Diese Version wird nicht mehr unterstützt, wie in der Supportrichtlinie für Anthos-Versionen beschrieben. Führen Sie ein Upgrade auf eine unterstützte Version durch, um die neuesten Patches und Updates für Sicherheitslücken, Kontakte und Probleme bei Anthos-Clustern in VMware (GKE On-Prem) zu erhalten. Die neueste Version finden Sie hier.

Proxy- und Firewallregeln

Auf dieser Seite wird gezeigt, wie Sie Proxy- und Firewallregeln für Anthos-Cluster auf VMware (GKE On-Prem) einrichten.

Adressen für Ihren Proxy auf die Zulassungsliste setzen

Wenn in Ihrer Organisation ausgehender Traffic einen Proxyserver passieren muss, setzen Sie die folgenden Adressen auf die Zulassungsliste für den Proxyserver: Beachten Sie, dass www.googleapis.com anstelle von googleapis.com benötigt wird:

  • dl.google.com (vom Google Cloud SDK-Installationsprogramm erforderlich)
  • gcr.io
  • www.googleapis.com
  • accounts.google.com
  • cloudresourcemanager.googleapis.com
  • container.googleapis.com
  • gkeconnect.googleapis.com
  • gkehub.googleapis.com
  • iam.googleapis.com
  • iamcredentials.googleapis.com
  • logging.googleapis.com
  • monitoring.googleapis.com
  • oauth2.googleapis.com
  • securetoken.googleapis.com
  • servicecontrol.googleapis.com
  • serviceusage.googleapis.com
  • storage.googleapis.com
  • sts.googleapis.com
  • checkpoint-api.hashicorp.com
  • releases.hashicorp.com (Optional. Nur erforderlich, wenn Sie Terraform zum Erstellen einer Administrator-Workstation verwenden.)

Wenn Sie gkeadm zum Installieren von Anthos-Cluster auf VMware verwenden, müssen Sie die hashicorp-URLs oben nicht auf die Zulassungsliste setzen.

Wenn außerdem Ihr vCenter-Server eine externe IP-Adresse hat, setzen Sie diese Adresse auf die Zulassungsliste für den Proxyserver.

Firewallregeln

Richten Sie Ihre Firewallregeln so ein, dass der folgende Traffic zugelassen wird.

Firewallregeln für im Admin-Cluster verfügbare IP-Adressen

Die im Administratorcluster verfügbaren IP-Adressen sind in der IP-Blockdatei aufgeführt. Diese IP-Adressen werden für den Knoten der Administrator-Steuerungsebene, die Add-on-Knoten des Administratorclusters und den Knoten der Steuerungsebene des Nutzerclusters verwendet. Da die IP-Adressen für den Administratorcluster bestimmten Knoten nicht zugewiesen sind, müssen Sie dafür sorgen, dass alle in der folgenden Tabelle aufgeführten Firewallregeln für alle IP-Adressen gelten, die für den Administratorcluster verfügbar sind.

Von

Quellport

To

Port

Protokoll

Beschreibung

Knoten der Administratorcluster-Steuerungsebene

1024 - 65535

vCenter Server API

443

TCP/https

Größenanpassung für Cluster

Add-on-Knoten für Administratorcluster

1024 - 65535

vCenter Server API

443

TCP/https

Verwaltung des Nutzercluster-Lebenszyklus.

Knoten der Nutzercluster-Steuerungsebene

1024 - 65535

vCenter Server API

443

TCP/https

Größenanpassung für Cluster

Cloud Logging Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird

1024 - 65535

oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com
storage.googleapis.com
www.googleapis.com

443

TCP/https

Cloud Monitoring Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird

1024 - 65535

oauth2.googleapis.com
monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Knoten der Administratorcluster-Steuerungsebene

1024 - 65535

F5 BIG-IP API

443

TCP/https

Knoten der Nutzercluster-Steuerungsebene

1024 - 65535

F5 BIG-IP API

443

TCP/https

Knoten der Administratorcluster-Steuerungsebene

1024 - 65535

Lokale Docker-Registry

Hängt von Ihrer Registry ab

TCP/https

Erforderlich, wenn Anthos-Cluster auf VMware für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist.

Knoten der Nutzercluster-Steuerungsebene

1024 - 65535

Lokale Docker-Registry

Hängt von Ihrer Registry ab

TCP/https

Erforderlich, wenn Anthos-Cluster auf VMware für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist.

Knoten der Administratorcluster-Steuerungsebene

1024 - 65535

gcr.io
oauth2.googleapis.com
storage.googleapis.com
Alle *.googleapis.com-URLs, die für die für den Administratorcluster aktivierten Dienste erforderlich sind

443

TCP/https

Images aus öffentlichen Docker-Registrys herunterladen

Nicht erforderlich, wenn eine private Docker-Registry verwendet wird

Knoten der Nutzercluster-Steuerungsebene

1024 - 65535

gcr.io
oauth2.googleapis.com
storage.googleapis.com
Alle *.googleapis.com-URLs, die für die für den Administratorcluster aktivierten Dienste erforderlich sind
443

TCP/https

Images aus öffentlichen Docker-Registrys herunterladen

Nicht erforderlich, wenn eine private Docker-Registry verwendet wird

Administratorcluster-Worker-Knoten

1024 - 65535

Administratorcluster-Worker-Knoten

Alle

179 – bgp

443 – https

5473 – Calico/Typha

9443 – Envoy-Messwerte

10250 – Kubelet-Knotenport

Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben.

Administratorcluster-Knoten

1024 - 65535

Administratorcluster-Pod-CIDR

Alle

Beliebig

Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet.

Administratorcluster-Worker-Knoten

Alle

Nutzerclusterknoten

22

ssh

API-Server für Kubelet-Kommunikation über einen SSH-Tunnel.

Administratorcluster-Knoten

1024 - 65535

IP-Adressen der Seesaw-LB-VMs des Administratorclusters

20255, 20257

TCP/http

LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden

Firewallregeln für Nutzerclusterknoten

Die IP-Adressen der Nutzercluster werden in der IP-Blockdatei aufgeführt.

Wie bei den Knoten eines Administratorclusters wissen Sie nicht, welche IP-Adresse für welchen Knoten verwendet wird. Folglich gelten alle Regeln in den Nutzerclusterknoten für jeden Nutzerclusterknoten.

Von

Quellport

To

Port

Protokoll

Beschreibung

Nutzercluster-Worker-Knoten

Alle

gcr.io
oauth2.googleapis.com
storage.googleapis.com
Alle *.googleapis.com-URLs, die für die für diesen Cluster aktivierten Dienste erforderlich sind

443

TCP/https

Images aus öffentlichen Docker-Registrys herunterladen

Nicht erforderlich, wenn eine private Docker-Registry verwendet wird

Nutzercluster-Worker-Knoten

Alle

F5 BIG-IP API

443

TCP/https

Nutzercluster-Worker-Knoten

Alle

VIP des pushprox-Servers, der im Administratorcluster ausgeführt wird

8443

TCP/https

Prometheus-Traffic

Nutzercluster-Worker-Knoten

Alle

Nutzercluster-Worker-Knoten

Alle

22 – ssh

179 – bgp

443 – https

5473 – Calico/Typha

9443 – Envoy-Messwerte

10250 – Kubelet-Knotenport

Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben.

Nutzerclusterknoten

1024 - 65535

Nutzercluster-Pod-CIDR

Alle

Beliebig

Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet.

Cloud Logging Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird

1024 - 65535

oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com
www.googleapis.com

443

TCP/https

Connect Agent, das auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird

1024 - 65535

cloudresourcemanager.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
www.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
oauth2.googleapis.com
securetoken.googleapis.com
sts.googleapis.com
accounts.google.com

443

TCP/https

Connect-Traffic

Cloud Monitoring Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird

1024 - 65535

oauth2.googleapis.com
monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Nutzerclusterknoten

1024 - 65535

IP-Adressen der Seesaw-LB-VMs des Nutzerclusters

20255, 20257

TCP/http

LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden

Firewallregeln für die verbleibenden Komponenten

Diese Regeln gelten für alle anderen Komponenten, die in den Tabellen für den Administratorcluster und die Nutzerclusterknoten nicht aufgeführt sind.

Von

Quellport

To

Port

Protokoll

Beschreibung

Administratorcluster-Pod-CIDR

1024 - 65535

Administratorcluster-Pod-CIDR

Alle

Beliebig

Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR.

Administratorcluster-Pod-CIDR

1024 - 65535

Administratorcluster-Knoten

Alle

Beliebig

Rücktraffic des externen Traffics

Nutzercluster-Pod-CIDR

1024 - 65535

Nutzercluster-Pod-CIDR

Alle

Beliebig

Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR.

Nutzercluster-Pod-CIDR

1024 - 65535

Nutzerclusterknoten

Alle

Beliebig

Rücktraffic des externen Traffics

Clients und Endnutzer von Anwendungen

Alle

VIP des eingehenden Istio-Traffics

80, 443

TCP

Endnutzer-Traffic zum Dienst für eingehenden Traffic eines Nutzerclusters

Jump-Server zum Bereitstellen der Administrator-Workstation

Siitzungspezifischer Portbereich

checkpoint-api.hashicorp.com
releases.hashicorp.com
vCenter Server API
ESXi-VMkernel-IP-Adressen (Verwaltung) von Hosts im Zielcluster

443

TCP/https

Terraform-Bereitstellung der Administrator-Workstation (Optional. Nur erforderlich, wenn Sie Terraform zum Erstellen einer Administrator-Workstation verwenden.)
Sitzungsspezifischen Portbereich aus „cat /proc/sys/net/ipv4/ip_local_port_range“ prüfen.

Administratorworkstation

32768- 60999

gcr.io
cloudresourcemanager.googleapis.com
oauth2.googleapis.com
storage.googleapis.com
Alle *.googleapis.com-URLs, die für die für diesen Cluster aktivierten Dienste erforderlich sind

443

TCP/https

Docker-Images aus öffentlichen Docker-Registries herunterladen

Administratorworkstation

32768- 60999

gcr.io
cloudresourcemanager.googleapis.com
iam.googleapis.com
oauth2.googleapis.com
serviceusage.googleapis.com
storage.googleapis.com
Alle *.googleapis.com-URLs, die für die für den Administrator- oder Nutzercluster aktivierten Dienste erforderlich sind

443

TCP/https

Preflight-Prüfungen (Validierung)

Administratorworkstation

32768- 60999

vCenter Server API

F5 BIG-IP API

443

TCP/https

Cluster-Bootstrapping

Administratorworkstation

32768- 60999

ESXi-VMkernel-IP-Adressen (Verwaltung) von Hosts im Zielcluster

443

TCP/https

Die Administrator-Workstation lädt die OVA-Datei über die ESXi-Hosts in den Datenspeicher hoch.

Administratorworkstation

32768- 60999

Knoten-IP der VM einer Administratorcluster-Steuerungsebene

443

TCP/https

Cluster-Bootstrapping

Administratorworkstation

32768- 60999

VIP des Kubernetes-API-Servers des Administratorclusters

VIPs der Kubernetes-API-Server von Nutzerclustern

443

TCP/https

Cluster-Bootstrapping

Nutzercluster löschen

Administratorworkstation

32768- 60999

Knoten und Worker-Knoten der Administratorcluster-Steuerungsebene

443

TCP/https

Cluster-Bootstrapping

Aktualisierungen der Steuerungsebene

Administratorworkstation

32768- 60999

Alle Administratorcluster-Knoten und alle Nutzercluster-Knoten

443

TCP/https

Netzwerkvalidierung als Teil des Befehls gkectl check-config

Administratorworkstation

32768- 60999

VIP des eingehenden Istio-Traffics des Administratorclusters

VIP des eingehenden Istio-Traffics von Nutzerclustern

443

TCP/https

Netzwerkvalidierung als Teil des Befehls gkectl check-config

Administratorworkstation

32768- 60999

IP-Adressen der Seesaw-LB-VMs in Administrator- und Nutzerclustern

Seesaw-LB-VIPs von Administrator- und Nutzerclustern

20256, 20258

TCP/http/gRPC

Systemdiagnose von lokalen LBs. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden

Administratorworkstation

32768- 60999

Knoten-IP der Cluster-Steuerungsebene

22

TCP

Erforderlich, wenn Sie von der Administratorworkstation aus SSH-Zugriff auf die Administratorcluster-Steuerungsebene benötigen.

LB-VM-IP-Adressen

32768- 60999

Knoten-IP-Adressen des entsprechenden Clusters

10256: Knoten-Systemdiagnose
30000 – 32767: healthCheckNodePort

TCP/http

Knoten-Systemdiagnose. healthCheckNodePort ist für Dienste bestimmt, bei denen externalTrafficPolicy auf "Local" gesetzt ist. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden

F5-Self-IP

1024 - 65535

Alle Administrator- und Nutzercluster-Knoten

30000 bis 32767

Beliebig

Für den Traffic auf Datenebene, für den F5 BIG-IP über eine VIP eines virtuellen Servers ein Load-Balancing zu den Knotenports auf den Kubernetes-Clusterknoten durchführt

In der Regel befindet sich die F5-Selbst-IP im selben Netzwerk/Subnetz wie die Kubernetes-Clusterknoten.