Version 1.6. Diese Version wird nicht mehr unterstützt, wie in der Supportrichtlinie für Anthos-Versionen beschrieben. Führen Sie ein Upgrade auf eine unterstützte Version durch, um die neuesten Patches und Updates für Sicherheitslücken, Kontakte und Probleme bei Anthos-Clustern in VMware (GKE On-Prem) zu erhalten. Die neueste Version finden Sie hier.

Verfügbare Versionen

Proxy- und Firewallregeln

Auf dieser Seite wird gezeigt, wie Sie Proxy- und Firewallregeln für Anthos-Cluster auf VMware (GKE On-Prem) einrichten.

Adressen für Ihren Proxy auf die Zulassungsliste setzen

Wenn in Ihrer Organisation ausgehender Traffic einen Proxyserver passieren muss, setzen Sie die folgenden Adressen auf die Zulassungsliste für den Proxyserver: Beachten Sie, dass www.googleapis.com anstelle von googleapis.com benötigt wird:

dl.google.com (vom Google Cloud SDK-Installationsprogramm erforderlich)
gcr.io
www.googleapis.com
accounts.google.com
cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
oauth2.googleapis.com
securetoken.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
storage.googleapis.com
sts.googleapis.com
checkpoint-api.hashicorp.com
releases.hashicorp.com (Optional. Nur erforderlich, wenn Sie Terraform zum Erstellen einer Administrator-Workstation verwenden.)

Wenn Sie gkeadm zum Installieren von Anthos-Cluster auf VMware verwenden, müssen Sie die hashicorp-URLs oben nicht auf die Zulassungsliste setzen.

Wenn außerdem Ihr vCenter-Server eine externe IP-Adresse hat, setzen Sie diese Adresse auf die Zulassungsliste für den Proxyserver.

Firewallregeln

Richten Sie Ihre Firewallregeln so ein, dass der folgende Traffic zugelassen wird.

Firewallregeln für im Admin-Cluster verfügbare IP-Adressen

Die im Administratorcluster verfügbaren IP-Adressen sind in der IP-Blockdatei aufgeführt. Diese IP-Adressen werden für den Knoten der Administrator-Steuerungsebene, die Add-on-Knoten des Administratorclusters und den Knoten der Steuerungsebene des Nutzerclusters verwendet. Da die IP-Adressen für den Administratorcluster bestimmten Knoten nicht zugewiesen sind, müssen Sie dafür sorgen, dass alle in der folgenden Tabelle aufgeführten Firewallregeln für alle IP-Adressen gelten, die für den Administratorcluster verfügbar sind.

Von	Quellport	To	Port	Protokoll	Beschreibung
Knoten der Administratorcluster-Steuerungsebene	1024 – 65535	vCenter Server API	443	TCP/https	Größenanpassung für Cluster
Add-on-Knoten für Administratorcluster	1024 – 65535	vCenter Server API	443	TCP/https	Verwaltung des Nutzercluster-Lebenszyklus.
Knoten der Nutzercluster-Steuerungsebene	1024 – 65535	vCenter Server API	443	TCP/https	Größenanpassung für Cluster
Cloud Logging Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird	1024 – 65535	oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com	443	TCP/https
Cloud Monitoring Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird	1024 – 65535	oauth2.googleapis.com monitoring.googleapis.com Stackdriver.googleapis.com servicecontrol.googleapis.com	443	TCP/https
Knoten der Administratorcluster-Steuerungsebene	1024 – 65535	F5 BIG-IP API	443	TCP/https
Knoten der Nutzercluster-Steuerungsebene	1024 – 65535	F5 BIG-IP API	443	TCP/https
Knoten der Administratorcluster-Steuerungsebene	1024 – 65535	Lokale Docker-Registry	Hängt von Ihrer Registry ab	TCP/https	Erforderlich, wenn Anthos-Cluster auf VMware für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist.
Knoten der Nutzercluster-Steuerungsebene	1024 – 65535	Lokale Docker-Registry	Hängt von Ihrer Registry ab	TCP/https	Erforderlich, wenn Anthos-Cluster auf VMware für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist.
Knoten der Administratorcluster-Steuerungsebene	1024 – 65535	gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für den Administratorcluster aktivierten Dienste erforderlich sind	443	TCP/https	Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird
Knoten der Nutzercluster-Steuerungsebene	1024 – 65535	gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für den Administratorcluster aktivierten Dienste erforderlich sind	443	TCP/https	Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird
Administratorcluster-Worker-Knoten	1024 – 65535	Administratorcluster-Worker-Knoten	Alle	179 – bgp 443 – https 5473 – Calico/Typha 9443 – Envoy-Messwerte 10250 – Kubelet-Knotenport	Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben.
Administratorcluster-Knoten	1024 – 65535	Administratorcluster-Pod-CIDR	Alle	Beliebig	Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet.
Administratorcluster-Worker-Knoten	all	Nutzerclusterknoten	22	ssh	API-Server für Kubelet-Kommunikation über einen SSH-Tunnel.
Administratorcluster-Knoten	1024 – 65535	IP-Adressen der Seesaw-LB-VMs des Administratorclusters	20255, 20257	TCP/http	LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden

Firewallregeln für Nutzerclusterknoten

Die IP-Adressen der Nutzercluster werden in der IP-Blockdatei aufgeführt.

Wie bei den Knoten eines Administratorclusters wissen Sie nicht, welche IP-Adresse für welchen Knoten verwendet wird. Folglich gelten alle Regeln in den Nutzerclusterknoten für jeden Nutzerclusterknoten.

Von	Quellport	To	Port	Protokoll	Beschreibung
Nutzercluster-Worker-Knoten	all	gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für diesen Cluster aktivierten Dienste erforderlich sind	443	TCP/https	Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird
Nutzercluster-Worker-Knoten	all	F5 BIG-IP API	443	TCP/https
Nutzercluster-Worker-Knoten	all	VIP des pushprox-Servers, der im Administratorcluster ausgeführt wird	8443	TCP/https	Prometheus-Traffic
Nutzercluster-Worker-Knoten	all	Nutzercluster-Worker-Knoten	Alle	22 – ssh 179 – bgp 443 – https 5473 – Calico/Typha 9443 – Envoy-Messwerte 10250 – Kubelet-Knotenport	Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben.
Nutzerclusterknoten	1024 – 65535	Nutzercluster-Pod-CIDR	Alle	Beliebig	Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet.
Cloud Logging Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird	1024 – 65535	oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com www.googleapis.com	443	TCP/https
Connect Agent, das auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird	1024 – 65535	cloudresourcemanager.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com	443	TCP/https	Connect-Traffic
Cloud Monitoring Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird	1024 – 65535	oauth2.googleapis.com Monitoring.googleapis.com googleapis.googleapis.com servicecontrol.googleapis.com	443	TCP/https
Nutzerclusterknoten	1024 – 65535	IP-Adressen der Seesaw-LB-VMs des Nutzerclusters	20255, 20257	TCP/http	LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden

Firewallregeln für die verbleibenden Komponenten

Diese Regeln gelten für alle anderen Komponenten, die in den Tabellen für den Administratorcluster und die Nutzerclusterknoten nicht aufgeführt sind.

Von	Quellport	To	Port	Protokoll	Beschreibung
Administratorcluster-Pod-CIDR	1024 – 65535	Administratorcluster-Pod-CIDR	Alle	Beliebig	Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR.
Administratorcluster-Pod-CIDR	1024 – 65535	Administratorcluster-Knoten	Alle	Beliebig	Rücktraffic des externen Traffics
Nutzercluster-Pod-CIDR	1024 – 65535	Nutzercluster-Pod-CIDR	Alle	Beliebig	Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR.
Nutzercluster-Pod-CIDR	1024 – 65535	Nutzerclusterknoten	Alle	Beliebig	Rücktraffic des externen Traffics
Clients und Endnutzer von Anwendungen	all	VIP des eingehenden Istio-Traffics	80, 443	TCP	Endnutzer-Traffic zum Dienst für eingehenden Traffic eines Nutzerclusters
Jump-Server zum Bereitstellen der Administrator-Workstation	Siitzungspezifischer Portbereich	check-api.hashicorp.com releases.hashicorp.com vCenter Server API ESXi-VMkernel-IP-Adressen (Hosts) im Zielcluster	443	TCP/https	Terraform-Bereitstellung der Administrator-Workstation (Optional. Nur erforderlich, wenn Sie Terraform zum Erstellen einer Administrator-Workstation verwenden.) Sitzungsspezifischen Portbereich aus „cat /proc/sys/net/ipv4/ip_local_port_range“ prüfen.
Administratorworkstation	32768 – 60999	gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für diesen Cluster aktivierten Dienste erforderlich sind	443	TCP/https	Docker-Images aus öffentlichen Docker-Registries herunterladen
Administratorworkstation	32768 – 60999	gcr.io cloudresourcemanager.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für den Administrator- oder Nutzercluster aktivierten Dienste erforderlich sind	443	TCP/https	Preflight-Prüfungen (Validierung)
Administratorworkstation	32768 – 60999	vCenter Server API F5 BIG-IP API	443	TCP/https	Cluster-Bootstrapping
Administratorworkstation	32768 – 60999	ESXi-VMkernel-IP-Adressen (Verwaltung) von Hosts im Zielcluster	443	TCP/https	Die Administrator-Workstation lädt die OVA-Datei über die ESXi-Hosts in den Datenspeicher hoch.
Administratorworkstation	32768 – 60999	Knoten-IP der VM einer Administratorcluster-Steuerungsebene	443	TCP/https	Cluster-Bootstrapping
Administratorworkstation	32768 – 60999	VIP des Kubernetes-API-Servers des Administratorclusters VIPs der Kubernetes-API-Server von Nutzerclustern	443	TCP/https	Cluster-Bootstrapping Nutzercluster löschen
Administratorworkstation	32768 – 60999	Knoten und Worker-Knoten der Administratorcluster-Steuerungsebene	443	TCP/https	Cluster-Bootstrapping Aktualisierungen der Steuerungsebene
Administratorworkstation	32768 – 60999	Alle Administratorcluster-Knoten und alle Nutzercluster-Knoten	443	TCP/https	Netzwerkvalidierung als Teil des Befehls `gkectl check-config`
Administratorworkstation	32768 – 60999	VIP des eingehenden Istio-Traffics des Administratorclusters VIP des eingehenden Istio-Traffics von Nutzerclustern	443	TCP/https	Netzwerkvalidierung als Teil des Befehls `gkectl check-config`
Administratorworkstation	32768 – 60999	IP-Adressen der Seesaw-LB-VMs in Administrator- und Nutzerclustern Seesaw-LB-VIPs von Administrator- und Nutzerclustern	20256, 20258	TCP/http/gRPC	Systemdiagnose von lokalen LBs. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden
Administratorworkstation	32768 – 60999	Knoten-IP der Cluster-Steuerungsebene	22	TCP	Erforderlich, wenn Sie von der Administratorworkstation aus SSH-Zugriff auf die Administratorcluster-Steuerungsebene benötigen.
LB-VM-IP-Adressen	32768 – 60999	Knoten-IP-Adressen des entsprechenden Clusters	10256: Knoten-Systemdiagnose 30000 – 32767: healthCheckNodePort	TCP/http	Knoten-Systemdiagnose. healthCheckNodePort ist für Dienste bestimmt, bei denen externalTrafficPolicy auf "Local" gesetzt ist. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden
F5-Self-IP	1024 – 65535	Alle Administrator- und Nutzercluster-Knoten	30000 bis 32767	Beliebig	Für den Traffic auf Datenebene, für den F5 BIG-IP über eine VIP eines virtuellen Servers ein Load-Balancing zu den Knotenports auf den Kubernetes-Clusterknoten durchführt In der Regel befindet sich die F5-Selbst-IP im selben Netzwerk/Subnetz wie die Kubernetes-Clusterknoten.