Versión 1.9. Esta versión es compatible como se describe en la política de asistencia de la versión de Anthos, que ofrece los últimos parches y actualizaciones de vulnerabilidades de seguridad, exposiciones y problemas que afectan a los clústeres de Anthos alojados en VMware (GKE On-Prem). Consulta las notas de la versión para obtener más detalles. Esta es la versión más reciente.

Reglas de proxy y firewall

En esta página, se muestra cómo configurar reglas de firewall y proxy para clústeres de Anthos alojados en VMware (GKE On-Prem).

Agrega direcciones de tu proxy a la lista de anunciantes permitidos

Si la organización requiere que el tráfico saliente pase a través de un servidor proxy, incluye en la lista de entidades permitidas las siguientes direcciones en el servidor proxy. Ten en cuenta que se necesita www.googleapis.com, en lugar de googleapis.com:

  • dl.google.com (requerido por el instalador del SDK de Google Cloud)
  • gcr.io
  • www.googleapis.com
  • accounts.google.com
  • cloudresourcemanager.googleapis.com
  • container.googleapis.com
  • gkeconnect.googleapis.com
  • gkehub.googleapis.com
  • iam.googleapis.com
  • iamcredentials.googleapis.com
  • logging.googleapis.com
  • monitoring.googleapis.com
  • oauth2.googleapis.com
  • opsconfigmonitoring.googleapis.com
  • securetoken.googleapis.com
  • servicecontrol.googleapis.com
  • serviceusage.googleapis.com
  • storage.googleapis.com
  • sts.googleapis.com
  • checkpoint-api.hashicorp.com
  • releases.hashicorp.com (Opcional. Requerido solo si usas Terraform para crear una estación de trabajo de administrador).

Si usas gkeadm para instalar clústeres de Anthos alojados en VMware, no necesitas agregar las URL de hashicorp anteriores a la lista de entidades permitidas.

Además, si tu vCenter Server tiene una dirección IP externa, incluye en la lista de anunciantes permitidos su dirección en el servidor proxy.

Reglas de firewall

Configura las reglas de firewall para permitir el siguiente tráfico.

Reglas de firewall para las direcciones IP disponibles en el clúster de administrador

Las direcciones IP disponibles en el clúster de administrador se enumeran en el archivo de bloque de IP. Estas direcciones IP se usan para el nodo de plano de control del clúster de administrador, los nodos de complemento del clúster de administrador y el nodo de plano de control del clúster de usuario. Como las direcciones IP del clúster de administrador no se asignan a nodos específicos, debes asegurarte de que todas las reglas de firewall que se indican en la siguiente tabla se apliquen a todas las direcciones IP disponibles para el clúster de administrador.

Desde

Puerto de origen

Hasta

Puerto

Protocolo

Descripción

Nodo del plano de control del clúster de administrador

1024 - 65535

API del servidor de vCenter

443

TCP/https

Cambio del tamaño del clúster

Nodos de complemento del clúster de administrador

1024 - 65535

API del servidor de vCenter

443

TCP/https

Administración del ciclo de vida de los clústeres de usuario.

Nodo del plano de control del clúster de usuario

1024 - 65535

API del servidor de vCenter

443

TCP/https

Cambio del tamaño del clúster

Nodo del plano de control del clúster de usuario

1024 - 65535

cloudresourcemanager.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com

443

TCP/https

Para registrarse en el centro,se requiere acces.

Recopilador de Cloud Logging, que se ejecuta en un nodo complementario del clúster del administrador

1024 - 65535

oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com
storage.googleapis.com
www.googleapis.com

443

TCP/https

Recopilador de Cloud Metadata, que se ejecuta en un nodo complementario del clúster del administrador

1024 - 65535

opsconfigmonitoring.googleapis.com

443

TCP/https

Recopilador de Cloud Monitoring, que se ejecuta en un nodo complementario del clúster del administrador

1024 - 65535

oauth2.googleapis.com
monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Nodo del plano de control del clúster de administrador

1024 - 65535

API de BIG-IP de F5

443

TCP/https

Nodo del plano de control del clúster de usuario

1024 - 65535

API de BIG-IP de F5

443

TCP/https

Nodo del plano de control del clúster de administrador

1024 - 65535

Registro local de Docker

Depende del registro

TCP/https

Es obligatorio si los clústeres de Anthos alojados en VMware están configurados para usar un registro de Docker privado local en lugar de gcr.io.

Nodo del plano de control del clúster de usuario

1024 - 65535

Registro local de Docker

Depende del registro

TCP/https

Es obligatorio si los clústeres de Anthos alojados en VMware están configurados para usar un registro de Docker privado local en lugar de gcr.io.

Nodo del plano de control del clúster de administrador

1024 - 65535

gcr.io
oauth2.googleapis.com
storage.googleapis.com
Cualquier URL *.googleapis.com requerida para los servicios habilitados para el clúster de administrador

443

TCP/https

Descarga imágenes de registros públicos de Docker.

No es necesario si se usa un registro privado de Docker.

Nodo del plano de control del clúster de usuario

1024 - 65535

gcr.io
oauth2.googleapis.com
storage.googleapis.com
Cualquier URL *.googleapis.com requerida para los servicios habilitados para el clúster de administrador
443

TCP/https

Descarga imágenes de registros públicos de Docker.

No es necesario si se usa un registro privado de Docker.

Nodos trabajadores del clúster de administrador

1024 - 65535

Nodos trabajadores del clúster de administrador

Todos

179: bgp

443: https

5473: Calico/Typha

9443: Métricas de Envoy

10250: Puerto de nodo de kubelet

Todos los nodos trabajadores deben ser adyacentes a la capa 2 y no deben tener ningún firewall.

Nodos del clúster del administrador

1024 - 65535

CIDR del Pod del clúster de administrador

todos

cualquiera

Se aplica SNAT al tráfico externo en el primer nodo y se envía a la IP del pod.

Nodos trabajadores del clúster de administrador

todos

Nodos del clúster de usuario

22

ssh

Comunicación entre el servidor de API y kubelet a través de un túnel SSH.

Nodos del clúster del administrador

1024 - 65535

IP de las VM de los balanceadores de cargas de Seesaw del clúster del administrador

20255, 20257

TCP/http

Supervisión de métricas y envío de la configuración del balanceador de cargas. Solo es necesaria si usas el paquete de los balanceadores de cargas de Seesaw.

Reglas de firewall para los nodos del clúster de usuario

En los nodos del clúster de usuario, sus direcciones IP se enumeran en el archivo de bloque de IP.

Al igual que con los nodos del clúster de administrador, no sabes qué dirección IP se usará para cada nodo. Por lo tanto, todas las reglas de los nodos de los clústeres de usuario se aplican a cada nodo de clúster de usuario.

Desde

Puerto de origen

Hasta

Puerto

Protocolo

Descripción

Nodos trabajadores del clúster de usuarios

todos

gcr.io
oauth2.googleapis.com
storage.googleapis.com
Cualquier URL *.googleapis.com requerida para los servicios habilitados para este clúster

443

TCP/https

Descarga imágenes de registros públicos de Docker.

No es necesario si se usa un registro privado de Docker.

Nodos trabajadores del clúster de usuarios

todos

API de BIG-IP de F5

443

TCP/https

Nodos trabajadores del clúster de usuarios

todos

VIP del servidor de PushProx, que se ejecuta en el clúster del administrador.

8443

TCP/https

Tráfico de Prometheus

Nodos trabajadores del clúster de usuarios

todos

Nodos trabajadores del clúster de usuarios

todos

22: ssh

179: bgp

443: https

5473: calico-typha

9443: Métricas de Envoy

10250: Puerto de nodo de kubelet

Todos los nodos trabajadores deben ser adyacentes a la capa 2 y no deben tener ningún firewall.

Nodos del clúster de usuario

1024 - 65535

CIDR del pod del clúster de usuario

todos

cualquiera

Se aplica SNAT al tráfico externo en el primer nodo y se envía a la IP del pod.

Recopilador de Cloud Logging, que se ejecuta en un nodo trabajador aleatorio del clúster de usuarios

1024 - 65535

oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com
www.googleapis.com

443

TCP/https

Agente de Connect, que se ejecuta en un nodo trabajador aleatorio del clúster de usuarios.

1024 - 65535

cloudresourcemanager.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
www.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
oauth2.googleapis.com
securetoken.googleapis.com
sts.googleapis.com
accounts.google.com

443

TCP/https

Tráfico de Connect.

Recopilador de Cloud Metadata, que se ejecuta en un nodo trabajador aleatorio del clúster de usuarios

1024 - 65535

opsconfigmonitoring.googleapis.com

443

TCP/https

Recopilador de Cloud Monitoring, que se ejecuta en un nodo trabajador aleatorio del clúster de usuarios

1024 - 65535

oauth2.googleapis.com
Monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Nodos del clúster de usuario

1024 - 65535

IP de las VM de los balanceadores de cargas de Seesaw del clúster de usuarios

20255, 20257

TCP/http

Supervisión de métricas y envío de la configuración del balanceador de cargas. Solo es necesaria si usas el paquete de los balanceadores de cargas de Seesaw.

Reglas de firewall para los componentes restantes

Estas reglas se aplican a todos los demás componentes que no aparecen en las tablas del clúster de administrador y los nodos del clúster de usuario.

Desde

Puerto de origen

Hasta

Puerto

Protocolo

Descripción

CIDR del Pod del clúster de administrador

1024 - 65535

CIDR del Pod del clúster de administrador

todos

cualquiera

El tráfico entre pods realiza el reenvío de L2 directamente mediante la IP de origen y de destino dentro del CIDR del pod.

CIDR del Pod del clúster de administrador

1024 - 65535

Nodos del clúster del administrador

todos

cualquiera

Muestra el tráfico externo.

CIDR del pod del clúster de usuario

1024 - 65535

CIDR del pod del clúster de usuario

todos

cualquiera

El tráfico entre pods realiza el reenvío de L2 directamente mediante la IP de origen y de destino dentro del CIDR del pod.

CIDR del pod del clúster de usuario

1024 - 65535

Nodos del clúster de usuario

todos

cualquiera

Muestra el tráfico externo.

Clientes y usuarios finales de la aplicación

todos

VIP de entrada de Istio

80, 443

TCP

Tráfico del usuario final al servicio de entrada de un clúster de usuarios

Servidor de Jump para implementar la estación de trabajo del administrador

rango de puerto efímero

checkpoint-api.hashicorp.com
releases.hashicorp.com
API del servidor de vCenter
IP de VMkernel de ESXi (mgt) de hosts en el clúster de destino

443

TCP/https

Implementación de Terraform de la estación de trabajo del administrador (Opcional. Requerido solo si usas Terraform para crear una estación de trabajo de administrador).
Verifica el rango de puerto efímero de “cat /proc/sys/net/ipv4/ip_local_port_range”.

Estación de trabajo de administrador

32768- 60999

gcr.io
cloudresourcemanager.googleapis.com
oauth2.googleapis.com
storage.googleapis.com
Cualquier URL *.googleapis.com requerida para los servicios habilitados para este clúster

443

TCP/https

Descarga imágenes de Docker de registros públicos de Docker.

Estación de trabajo de administrador

32768- 60999

gcr.io
cloudresourcemanager.googleapis.com
iam.googleapis.com
oauth2.googleapis.com
serviceusage.googleapis.com
storage.googleapis.com
Cualquier URL *.googleapis.com requerida para los servicios habilitados para los clústeres de administrador o de usuario

443

TCP/https

Comprobaciones previas (validación).

Estación de trabajo de administrador

32768- 60999

API del servidor de vCenter

API de BIG-IP de F5

443

TCP/https

Inicio del clúster

Estación de trabajo de administrador

32768- 60999

IP de VMkernel de ESXi (mgt) de hosts en el clúster de destino

443

TCP/https

La estación de trabajo de administrador sube el OVA al almacén de datos a través de los hosts ESXi.

Estación de trabajo de administrador

32768- 60999

IP de nodo de la VM del plano de control del clúster de administrador

443

TCP/https

Inicio del clúster

Estación de trabajo de administrador

32768- 60999

VIP del servidor de la API de Kubernetes del clúster de administrador

VIP de los servidores de la API de Kubernetes de los clústeres de usuarios

443

TCP/https

Inicio del clúster

Eliminación de clústeres de usuarios

Estación de trabajo de administrador

32768- 60999

Nodos trabajadores y nodo del plano de control del clúster de administrador

443

TCP/https

Inicio del clúster

Actualizaciones del plano de control

Estación de trabajo de administrador

32768- 60999

Todos los nodos del clúster del administrador y todos los nodos del clúster de usuarios

443

TCP/https

Validación de red como parte del comando gkectl check-config

Estación de trabajo de administrador

32768- 60999

VIP de la entrada de Istio del clúster del administrador

VIP de entrada de Istio de clústeres de usuarios

443

TCP/https

Validación de red como parte del comando gkectl check-config

Estación de trabajo de administrador

32768- 60999

IP de las VM de los balanceadores de cargas de Seesaw en los clústeres del administrador y de usuarios

VIP de los balanceadores de cargas de Seesaw de los clústeres del administrador y de usuarios

20256, 20258

TCP/http/gRPC

Verificación de estado de los balanceadores de cargas. Solo es necesaria si usas el paquete de los balanceadores de cargas de Seesaw.

Estación de trabajo de administrador

32768- 60999

IP de nodo del plano de control del clúster

22

TCP

Es obligatorio si necesitas acceso SSH desde la estación de trabajo de administrador al plano de control del clúster de administrador.

IP de las VM del balanceador de cargas

32768- 60999

IP del nodo del clúster correspondiente

10256: verificación de estado del nodo
30000 - 32767: healthCheckNodePort

TCP/http

Verificación de estado del nodo. healthCheckNodePort es para servicios que tienen externalTrafficPolicy configurada como Local. Solo es necesaria si usas el paquete de los balanceadores de cargas de Seesaw.

Auto-IP F5

1024 - 65535

Todos los nodos del clúster del administrador y del usuario

30000: 32767

cualquiera

Para el tráfico del plano de datos que BIG-IP de F5 balancea a través de un servidor virtual VIP a los puertos del nodo en los nodos del clúster de Kubernetes.

Por lo general, la auto-IP F5 está en la misma red o subred que los nodos del clúster de Kubernetes.