Questa pagina mostra come configurare le regole proxy e firewall per i cluster Anthos su VMware (GKE on-prem).
Inserire indirizzi nella lista consentita per il proxy
Se la tua organizzazione richiede che il traffico in uscita passi attraverso un server proxy, autorizza i seguenti indirizzi nel server proxy. Tieni presente che è necessario l'elemento www.googleapis.com
, anziché googleapis.com
:
- dl.google.com (obbligatorio dal programma di installazione di Google Cloud SDK)
- gcr.io
- www.googleapis.com
- accounts.google.com
- cloudresourcemanager.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com
- gkehub.googleapis.com
- iam.googleapis.com
- iamcredentials.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- opsconfigmonitoring.googleapis.com
- securetoken.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- sts.googleapis.com
- checkpoint-api.hashicorp.com
- Release.hashicorp.com (Facoltativo) Obbligatorio solo se utilizzi Terraform per creare una workstation di amministrazione.
Se utilizzi gkeadm
per installare cluster Anthos su VMware, non è necessario includere nella lista consentita gli URL hashicorp sopra riportati.
Inoltre, se il server vCenter ha un indirizzo IP esterno, inseriscilo nella lista consentita nel server proxy.
Regole firewall
Configura le regole del firewall per consentire il seguente traffico.
Regole firewall per gli indirizzi IP disponibili nel cluster di amministrazione
Gli indirizzi IP disponibili nel cluster di amministrazione sono elencati nel file di blocco IP. Questi indirizzi IP vengono utilizzati per il nodo del piano di controllo del cluster di amministrazione, per i nodi dei componenti aggiuntivi del cluster di amministrazione e per il nodo del piano del controllo del cluster utente. Poiché gli indirizzi IP del cluster di amministrazione non sono assegnati a nodi specifici, devi assicurarti che tutte le regole firewall elencate nella tabella seguente si applichino a tutti gli indirizzi IP disponibili per il cluster di amministrazione.
Da |
Porta di origine |
To |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|---|
Nodo del piano di controllo del cluster di amministrazione |
1024 - 65535 |
API vCenter Server |
443 |
TCP/https |
Ridimensionamento del cluster. |
Nodi aggiuntivi del cluster di amministrazione |
1024 - 65535 |
API vCenter Server |
443 |
TCP/https |
Gestione del ciclo di vita dei cluster utente. |
Nodo del piano di controllo del cluster utente |
1024 - 65535 |
API vCenter Server |
443 |
TCP/https |
Ridimensionamento del cluster. |
Nodo del piano di controllo del cluster utente |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
L'accesso è obbligatorio per la registrazione dell'hub. |
Cloud Logging Collector, eseguito su un nodo aggiuntivo del cluster di amministrazione |
1024 - 65535 |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
Cloud Metadata Collector, eseguito su un nodo aggiuntivo del cluster di amministrazione |
1024 - 65535 |
opsconfigmonitoring.googleapis.com |
443 |
TCP/https |
|
Cloud Monitoring Collector, eseguito su un nodo aggiuntivo del cluster di amministrazione |
1024 - 65535 |
oauth2.googleapis.com monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
Nodo del piano di controllo del cluster di amministrazione |
1024 - 65535 |
API F5 BIG-IP |
443 |
TCP/https |
|
Nodo del piano di controllo del cluster utente |
1024 - 65535 |
API F5 BIG-IP |
443 |
TCP/https |
|
Nodo del piano di controllo del cluster di amministrazione |
1024 - 65535 |
Registro Docker locale on-premise |
Dipende dal registro |
TCP/https |
Obbligatorio se i cluster Anthos su VMware sono configurati per utilizzare un registro Docker privato locale anziché gcr.io. |
Nodo del piano di controllo del cluster utente |
1024 - 65535 |
Registro Docker locale on-premise |
Dipende dal registro |
TCP/https |
Obbligatorio se i cluster Anthos su VMware sono configurati per utilizzare un registro Docker privato locale anziché gcr.io. |
Nodo del piano di controllo del cluster di amministrazione |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi *.googleapis.com URL per i servizi abilitati per il cluster di amministrazione |
443 |
TCP/https |
Scarica immagini da registri Docker pubblici. Non è necessario se si utilizza un registro Docker privato. |
Nodo del piano di controllo del cluster utente |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi *.googleapis.com URL per i servizi abilitati per il cluster di amministrazione |
443 |
TCP/https |
Scarica immagini da registri Docker pubblici. Non è necessario se si utilizza un registro Docker privato. |
Nodi worker del cluster di amministrazione |
1024 - 65535 |
Nodi worker del cluster di amministrazione |
Tutti |
179 - bgp 443 - https 5473: Calico/Typha 9443 - Metriche Envoy 10250: porta del nodo kubelet |
Tutti i nodi worker devono essere adiacenti di livello 2 e senza alcun firewall. |
Nodi cluster di amministrazione |
1024 - 65535 |
CIDR pod di cluster di amministrazione |
tutte |
tutte |
Il traffico esterno riceve SNAT'ed sul primo nodo e inviato all'IP del pod. |
Nodi worker del cluster di amministrazione |
tutte |
Nodi cluster utente |
22 |
ssh |
Server API per la comunicazione kubelet su un tunnel SSH. |
Nodi cluster di amministrazione |
1024 - 65535 |
IP delle VM LB di Seesaw del cluster di amministrazione |
20255,20257 |
TCP/http |
Push della configurazione di bilanciamento del carico e monitoraggio delle metriche. Necessario solo se utilizzi LB Seesaw in bundle. |
Regole firewall per i nodi del cluster utente
Nei nodi del cluster utente, i loro indirizzi IP sono elencati nel file di blocco IP.
Come per i nodi del cluster di amministrazione, non sai quale indirizzo IP verrà utilizzato per quale nodo. Pertanto, tutte le regole nei nodi del cluster utente si applicano a ogni nodo del cluster utente.
Da |
Porta di origine |
To |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|---|
Nodi worker cluster utente |
tutte |
gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per questo cluster |
443 |
TCP/https |
Scarica immagini da registri Docker pubblici. Non è necessario se si utilizza un registro Docker privato. |
Nodi worker cluster utente |
tutte |
API F5 BIG-IP |
443 |
TCP/https |
|
Nodi worker cluster utente |
tutte |
VIP del server pushprox, eseguito nel cluster di amministrazione. |
8443 |
TCP/https |
Traffico prometheus. |
Nodi worker cluster utente |
tutte |
Nodi worker cluster utente |
tutte |
22 - SSH 179 - bgp 443 - https 5473: calico-typha 9443 - metriche invio 10250 - porta del nodo kubelet" |
Tutti i nodi worker devono essere adiacenti di livello 2 e senza alcun firewall. |
Nodi worker cluster utente |
tutte |
VIP piano di controllo utente |
443 |
TCP/https |
|
Nodi cluster utente |
1024 - 65535 |
CIDR pod utente utente |
tutte |
tutte |
Il traffico esterno riceve SNAT'ed sul primo nodo e inviato all'IP del pod. |
Cloud Logging Collector, eseguito su un nodo worker del cluster utente casuale |
1024 - 65535 |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
Connetti l'agente, che viene eseguito su un nodo worker del cluster utente casuale. |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts |
443 |
TCP/https |
Connetti il traffico. |
Cloud Metadata Collector, eseguito su un nodo worker del cluster utente casuale |
1024 - 65535 |
opsconfigmonitoring.googleapis.com |
443 |
TCP/https |
|
Cloud Monitoring Collector, eseguito su un nodo worker del cluster utente casuale |
1024 - 65535 |
oauth2.googleapis.com Monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP/https |
|
Nodi cluster utente |
1024 - 65535 |
IP delle VM Seesaw LB del cluster utente |
20255,20257 |
TCP/http |
Push della configurazione di bilanciamento del carico e monitoraggio delle metriche. Necessario solo se utilizzi LB Seesaw in bundle. |
Rete cluster utente |
tutte |
VIP piano di controllo cluster utente |
443 |
TCP/https |
Regole firewall per i componenti rimanenti
Queste regole si applicano a tutti gli altri componenti non elencati nelle tabelle per il cluster di amministrazione e i nodi del cluster utente.
Da |
Porta di origine |
To |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|---|
CIDR pod di cluster di amministrazione |
1024 - 65535 |
CIDR pod di cluster di amministrazione |
tutte |
tutte |
Il traffico inter-pod esegue l'inoltro L2 direttamente utilizzando l'IP di origine e di destinazione all'interno del CIDR del pod. |
CIDR pod di cluster di amministrazione |
1024 - 65535 |
Nodi cluster di amministrazione |
tutte |
tutte |
Restituisci il traffico di traffico esterno. |
CIDR pod utente utente |
1024 - 65535 |
CIDR pod utente utente |
tutte |
tutte |
Il traffico inter-pod esegue l'inoltro L2 direttamente utilizzando l'IP di origine e di destinazione all'interno del CIDR del pod. |
CIDR pod utente utente |
1024 - 65535 |
Nodi cluster utente |
tutte |
tutte |
Restituisci il traffico di traffico esterno. |
Clienti e utenti finali dell'applicazione |
tutte |
VIP di Istio in entrata |
80, 443 |
TCP |
Traffico degli utenti finali verso il servizio in entrata di un cluster utente. |
Salta il server per eseguire il deployment della workstation di amministrazione |
intervallo temporaneo delle porte |
checkpoint-api.hashicorp.com release.hashicorp.com API vCenter Server IP ESXi VMkernel (mgt) degli host nel cluster di destinazione |
443 |
TCP/https |
Deployment di Terraform della workstation di amministrazione. (Facoltativo) Obbligatorio solo se utilizzi Terraform per creare una workstation di amministrazione. |
Workstation di amministrazione |
32.768-60.999 |
gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Qualsiasi *.googleapis.com URL for the services enabled for this cluster |
443 |
TCP/https |
Scarica immagini Docker da registri Docker pubblici. |
Workstation di amministrazione |
32.768-60.999 |
gcr.io cloudresourcemanager.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Qualsiasi *.googleapis.com URL richiesto per i servizi abilitati per l'amministratore o i cluster utente |
443 |
TCP/https |
Controlli preliminari (convalida). |
Workstation di amministrazione |
32.768-60.999 |
API vCenter Server API F5 BIG-IP |
443 |
TCP/https |
Avvio cluster di cluster. |
Workstation di amministrazione |
32.768-60.999 |
IP ESXi VMkernel (mgt) degli host nel cluster di destinazione |
443 |
TCP/https |
La workstation di amministrazione carica l'OVA nel datastore tramite gli host ESXi. |
Workstation di amministrazione |
32.768-60.999 |
IP nodo della VM del piano di controllo del cluster di amministrazione |
443 |
TCP/https |
Avvio cluster di cluster. |
Workstation di amministrazione |
32.768-60.999 |
VIP del server API Kubernetes del cluster di amministrazione VIP degli cluster utente' server API Kubernetes |
443 |
TCP/https |
Avvio cluster di cluster. Eliminazione del cluster utente. |
Workstation di amministrazione |
32.768-60.999 |
Nodo del piano di controllo del cluster di amministrazione e nodi worker |
443 |
TCP/https |
Avvio cluster di cluster. Upgrade del piano di controllo. |
Workstation di amministrazione |
32.768-60.999 |
Tutti i nodi del cluster di amministrazione e tutti i nodi del cluster utente |
443 |
TCP/https |
Convalida della rete come parte del comando |
Workstation di amministrazione |
32.768-60.999 |
VIP del traffico in entrata Istio del cluster di amministrazione VIP dei cluster utente' Istio in entrata |
443 |
TCP/https |
Convalida della rete come parte del comando |
Workstation di amministrazione |
32.768-60.999 |
IP delle VM di Seesaw LB nei cluster di amministrazione e degli utenti Visualizza i VIP LB dei cluster di amministrazione e degli utenti |
20256.20258 |
TCP/http/gRPC |
Controllo di integrità degli oggetti LB. Necessaria solo se utilizzi l'API Ls Seesaw in bundle. |
Workstation di amministrazione |
32.768-60.999 |
IP nodo del piano di controllo del cluster |
22 |
TCP |
Obbligatorio se hai bisogno dell'accesso SSH dalla workstation di amministrazione al piano di controllo del cluster di amministrazione. |
IP VM LB |
32.768-60.999 |
IP dei nodi del cluster corrispondente |
10256: controllo di integrità del nodo |
TCP/http |
Controllo di integrità del nodo. HealthCheckNodePort è destinato ai servizi con externalTrafficPolicy impostato su Local. Necessaria solo se utilizzi l'API Ls Seesaw in bundle. |
Auto-IP F5 |
1024 - 65535 |
Tutti i nodi amministratore e tutti i cluster utente |
30.000-32.767 |
tutte |
Per il traffico del piano dati, il bilanciamento FG BIG-IP bilancia tramite un VIP server virtuale le porte dei nodi sui nodi del cluster Kubernetes. In genere l'auto-IP di F5 si trova sulla stessa rete/subnet dei nodi del cluster Kubernetes. |