Auf dieser Seite wird gezeigt, wie Sie Proxy- und Firewallregeln für Anthos-Cluster auf VMware (GKE On-Prem) einrichten.
Adressen für Ihren Proxy auf die Zulassungsliste setzen
Wenn in Ihrer Organisation ausgehender Traffic einen Proxyserver passieren muss, setzen Sie die folgenden Adressen auf die Zulassungsliste für den Proxyserver: Beachten Sie, dass www.googleapis.com
anstelle von googleapis.com
benötigt wird:
- dl.google.com (vom Google Cloud SDK-Installationsprogramm erforderlich)
- gcr.io
- www.googleapis.com
- accounts.google.com
- cloudresourcemanager.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com
- gkehub.googleapis.com
- iam.googleapis.com
- iamcredentials.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- opsconfigmonitoring.googleapis.com
- securetoken.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- sts.googleapis.com
- checkpoint-api.hashicorp.com
- releases.hashicorp.com (Optional. Nur erforderlich, wenn Sie Terraform zum Erstellen einer Administrator-Workstation verwenden.)
Wenn Sie gkeadm
zum Installieren von Anthos-Cluster auf VMware verwenden, müssen Sie die hashicorp-URLs oben nicht auf die Zulassungsliste setzen.
Wenn außerdem Ihr vCenter-Server eine externe IP-Adresse hat, setzen Sie diese Adresse auf die Zulassungsliste für den Proxyserver.
Firewallregeln
Richten Sie Ihre Firewallregeln so ein, dass der folgende Traffic zugelassen wird.
Firewallregeln für im Admin-Cluster verfügbare IP-Adressen
Die im Administratorcluster verfügbaren IP-Adressen sind in der IP-Blockdatei aufgeführt. Diese IP-Adressen werden für den Knoten der Administrator-Steuerungsebene, die Add-on-Knoten des Administratorclusters und den Knoten der Steuerungsebene des Nutzerclusters verwendet. Da die IP-Adressen für den Administratorcluster bestimmten Knoten nicht zugewiesen sind, müssen Sie dafür sorgen, dass alle in der folgenden Tabelle aufgeführten Firewallregeln für alle IP-Adressen gelten, die für den Administratorcluster verfügbar sind.
Von |
Quellport |
To |
Port |
Protokoll |
Beschreibung |
---|---|---|---|---|---|
Knoten der Administratorcluster-Steuerungsebene |
1024 – 65535 |
vCenter Server API |
443 |
TCP/https |
Größenanpassung für Cluster |
Add-on-Knoten für Administratorcluster |
1024 – 65535 |
vCenter Server API |
443 |
TCP/https |
Verwaltung des Nutzercluster-Lebenszyklus |
Knoten der Nutzercluster-Steuerungsebene |
1024 – 65535 |
vCenter Server API |
443 |
TCP/https |
Größenanpassung für Cluster |
Knoten der Nutzercluster-Steuerungsebene |
1024 – 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
Zugriff auf die Hub-Registrierung ist erforderlich. |
Cloud Logging Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird |
1024 – 65535 |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
Cloud Metadata Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird |
1024 – 65535 |
opsconfigmonitoring.googleapis.com |
443 |
TCP/https |
|
Cloud Monitoring Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird |
1024 – 65535 |
oauth2.googleapis.com monitoring.googleapis.com Stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
Knoten der Administratorcluster-Steuerungsebene |
1024 – 65535 |
F5 BIG-IP API |
443 |
TCP/https |
|
Knoten der Nutzercluster-Steuerungsebene |
1024 – 65535 |
F5 BIG-IP API |
443 |
TCP/https |
|
Knoten der Administratorcluster-Steuerungsebene |
1024 – 65535 |
Lokale Docker-Registry |
Hängt von Ihrer Registry ab |
TCP/https |
Erforderlich, wenn Anthos-Cluster auf VMware für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist. |
Knoten der Nutzercluster-Steuerungsebene |
1024 – 65535 |
Lokale Docker-Registry |
Hängt von Ihrer Registry ab |
TCP/https |
Erforderlich, wenn Anthos-Cluster auf VMware für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist. |
Knoten der Administratorcluster-Steuerungsebene |
1024 – 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für den Administratorcluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
Knoten der Nutzercluster-Steuerungsebene |
1024 – 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für den Administratorcluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
Administratorcluster-Worker-Knoten |
1024 – 65535 |
Administratorcluster-Worker-Knoten |
Alle |
179 – bgp 443 – https 5473 – Calico/Typha 9443 – Envoy-Messwerte 10250 – Kubelet-Knotenport |
Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben. |
Administratorcluster-Knoten |
1024 – 65535 |
Administratorcluster-Pod-CIDR |
Alle |
Beliebig |
Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet. |
Administratorcluster-Worker-Knoten |
all |
Nutzerclusterknoten |
22 |
ssh |
API-Server für Kubelet-Kommunikation über einen SSH-Tunnel. |
Administratorcluster-Knoten |
1024 – 65535 |
IP-Adressen der Seesaw-LB-VMs des Administratorclusters |
20255, 20257 |
TCP/http |
LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden |
Firewallregeln für Nutzerclusterknoten
Die IP-Adressen der Nutzercluster werden in der IP-Blockdatei aufgeführt.
Wie bei den Knoten eines Administratorclusters wissen Sie nicht, welche IP-Adresse für welchen Knoten verwendet wird. Folglich gelten alle Regeln in den Nutzerclusterknoten für jeden Nutzerclusterknoten.
Von |
Quellport |
To |
Port |
Protokoll |
Beschreibung |
---|---|---|---|---|---|
Nutzercluster-Worker-Knoten |
all |
gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für diesen Cluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
Nutzercluster-Worker-Knoten |
all |
F5 BIG-IP API |
443 |
TCP/https |
|
Nutzercluster-Worker-Knoten |
all |
VIP des pushprox-Servers, der im Administratorcluster ausgeführt wird |
8443 |
TCP/https |
Prometheus-Traffic |
Nutzercluster-Worker-Knoten |
all |
Nutzercluster-Worker-Knoten |
Alle |
22 – ssh 179 – bgp 443 – https 5473 – Calico/Typha 9443 – Envoy-Messwerte 10250 – Kubelet-Knotenport |
Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben. |
Nutzercluster-Worker-Knoten |
all |
VIP der Nutzersteuerungsebene |
443 |
TCP/https |
|
Nutzerclusterknoten |
1024 – 65535 |
Nutzercluster-Pod-CIDR |
Alle |
Beliebig |
Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet. |
Cloud Logging Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
1024 – 65535 |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
Connect Agent, das auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
1024 – 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com |
443 |
TCP/https |
|
Cloud Metadata Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
1024 – 65535 |
opsconfigmonitoring.googleapis.com |
443 |
TCP/https |
|
Cloud Monitoring Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
1024 – 65535 |
oauth2.googleapis.com Monitoring.googleapis.com googleapis.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
Nutzerclusterknoten |
1024 – 65535 |
IP-Adressen der Seesaw-LB-VMs des Nutzerclusters |
20255, 20257 |
TCP/http |
LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden |
Nutzerclusternetzwerk |
all |
VIP der Steuerungsebene des Nutzerclusters |
443 |
TCP/https |
Firewallregeln für die verbleibenden Komponenten
Diese Regeln gelten für alle anderen Komponenten, die in den Tabellen für den Administratorcluster und die Nutzerclusterknoten nicht aufgeführt sind.
Von |
Quellport |
To |
Port |
Protokoll |
Beschreibung |
---|---|---|---|---|---|
Administratorcluster-Pod-CIDR |
1024 – 65535 |
Administratorcluster-Pod-CIDR |
Alle |
Beliebig |
Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR. |
Administratorcluster-Pod-CIDR |
1024 – 65535 |
Administratorcluster-Knoten |
Alle |
Beliebig |
Rücktraffic des externen Traffics |
Nutzercluster-Pod-CIDR |
1024 – 65535 |
Nutzercluster-Pod-CIDR |
Alle |
Beliebig |
Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR. |
Nutzercluster-Pod-CIDR |
1024 – 65535 |
Nutzerclusterknoten |
Alle |
Beliebig |
Rücktraffic des externen Traffics |
Clients und Endnutzer von Anwendungen |
all |
VIP des eingehenden Istio-Traffics |
80, 443 |
TCP |
Endnutzer-Traffic zum Dienst für eingehenden Traffic eines Nutzerclusters |
Jump-Server zum Bereitstellen der Administrator-Workstation |
Siitzungspezifischer Portbereich |
check-api.hashicorp.com releases.hashicorp.com vCenter Server API ESXi-VMkernel-IP-Adressen (Hosts) im Zielcluster |
443 |
TCP/https |
Terraform-Bereitstellung der Administrator-Workstation (Optional. Nur erforderlich, wenn Sie Terraform zum Erstellen einer Administrator-Workstation verwenden.) |
Administratorworkstation |
32768 – 60999 |
gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für diesen Cluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Docker-Images aus öffentlichen Docker-Registries herunterladen |
Administratorworkstation |
32768 – 60999 |
gcr.io cloudresourcemanager.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für den Administrator- oder Nutzercluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Preflight-Prüfungen (Validierung) |
Administratorworkstation |
32768 – 60999 |
vCenter Server API F5 BIG-IP API |
443 |
TCP/https |
Cluster-Bootstrapping |
Administratorworkstation |
32768 – 60999 |
ESXi-VMkernel-IP-Adressen (Verwaltung) von Hosts im Zielcluster |
443 |
TCP/https |
Die Administrator-Workstation lädt die OVA-Datei über die ESXi-Hosts in den Datenspeicher hoch. |
Administratorworkstation |
32768 – 60999 |
Knoten-IP der VM einer Administratorcluster-Steuerungsebene |
443 |
TCP/https |
Cluster-Bootstrapping |
Administratorworkstation |
32768 – 60999 |
VIP des Kubernetes-API-Servers des Administratorclusters VIPs der Kubernetes-API-Server von Nutzerclustern |
443 |
TCP/https |
Cluster-Bootstrapping Nutzercluster löschen |
Administratorworkstation |
32768 – 60999 |
Knoten und Worker-Knoten der Administratorcluster-Steuerungsebene |
443 |
TCP/https |
Cluster-Bootstrapping Aktualisierungen der Steuerungsebene |
Administratorworkstation |
32768 – 60999 |
Alle Administratorcluster-Knoten und alle Nutzercluster-Knoten |
443 |
TCP/https |
Netzwerkvalidierung als Teil des Befehls |
Administratorworkstation |
32768 – 60999 |
VIP des eingehenden Istio-Traffics des Administratorclusters VIP des eingehenden Istio-Traffics von Nutzerclustern |
443 |
TCP/https |
Netzwerkvalidierung als Teil des Befehls |
Administratorworkstation |
32768 – 60999 |
IP-Adressen der Seesaw-LB-VMs in Administrator- und Nutzerclustern Seesaw-LB-VIPs von Administrator- und Nutzerclustern |
20256, 20258 |
TCP/http/gRPC |
Systemdiagnose von lokalen LBs. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden |
Administratorworkstation |
32768 – 60999 |
Knoten-IP der Cluster-Steuerungsebene |
22 |
TCP |
Erforderlich, wenn Sie von der Administratorworkstation aus SSH-Zugriff auf die Administratorcluster-Steuerungsebene benötigen. |
LB-VM-IP-Adressen |
32768 – 60999 |
Knoten-IP-Adressen des entsprechenden Clusters |
10256: Knoten-Systemdiagnose |
TCP/http |
Knoten-Systemdiagnose. healthCheckNodePort ist für Dienste bestimmt, bei denen externalTrafficPolicy auf "Local" gesetzt ist. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden |
F5-Self-IP |
1024 – 65535 |
Alle Administrator- und Nutzercluster-Knoten |
30000 bis 32767 |
Beliebig |
Für den Traffic auf Datenebene, für den F5 BIG-IP über eine VIP eines virtuellen Servers ein Load-Balancing zu den Knotenports auf den Kubernetes-Clusterknoten durchführt In der Regel befindet sich die F5-Selbst-IP im selben Netzwerk/Subnetz wie die Kubernetes-Clusterknoten. |