Los clústeres de Anthos en VMware ahora son Google Distributed Cloud (solo software) para VMware. Para obtener más información, consulta la descripción general del producto.

Esta página se ha traducido con Cloud Translation API.

Reglas de proxy y cortafuegos

En esta página se muestra cómo configurar reglas de proxy y firewall para Google Distributed Cloud (solo software) para VMware. Esta página está dirigida a especialistas en redes que implementan sistemas de seguridad de datos, como cortafuegos. Para obtener más información sobre los roles habituales y las tareas de ejemplo a las que hacemos referencia en el contenido, consulta Roles y tareas habituales de los usuarios de GKE. Google Cloud

Incluir direcciones en la lista de permitidas de tu proxy

Si tu organización requiere que el tráfico saliente pase por un servidor proxy, incluye en la lista de permitidos las siguientes direcciones en tu servidor proxy. Ten en cuenta que se necesita www.googleapis.com en lugar de googleapis.com:

dl.google.com ¹
gcr.io
www.googleapis.com
accounts.google.com
anthos.googleapis.com
anthosgke.googleapis.com
cloudresourcemanager.googleapis.com
compute.googleapis.com
connectgateway.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com ²
gkehub.googleapis.com
gkeonprem.googleapis.com
gkeonprem.mtls.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
kubernetesmetadata.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
oauth2.googleapis.com
opsconfigmonitoring.googleapis.com
securetoken.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
storage.googleapis.com
sts.googleapis.com
releases.hashicorp.com (opcional) ³

Notas:

¹ dl.google.com es necesario para el instalador del SDK Google Cloud.

² Si tu clúster se registró en la flota con una Google Cloud región, debes incluir en la lista de permitidos REGION-gkeconnect.googleapis.com (por ejemplo, us-central1-gkeconnect.googleapis.com). Si no has especificado ninguna región, el clúster usa la instancia del servicio Connect global y debes incluir en la lista de permitidos gkeconnect.googleapis.com. Si necesitas encontrar la ubicación de la pertenencia a la flota de tu clúster, ejecuta gcloud container fleet memberships list. Para obtener más información, consulta gkeConnect.location.

³ Si no usas el cliente de Terraform en tu estación de trabajo de administrador para ejecutar comandos como terraform apply, no es necesario que incluyas releases.hashicorp.com en la lista de permitidos. Si utilizas el cliente de Terraform en tu estación de trabajo de administrador, puedes incluir en una lista de permitidas releases.hashicorp.com para comprobar si la versión del cliente de Terraform que estás usando es la más reciente. Para ello, ejecuta el comando terraform version .

Además, si tu servidor vCenter tiene una dirección IP externa, inclúyela en la lista de permitidas de tu servidor proxy.

Reglas de cortafuegos para clústeres de administrador

Las direcciones IP del clúster de administrador dependen de si Controlplane V2 está habilitado en el clúster de usuario y de la versión en la que se creó el clúster.

Cuando Controlplane V2 está habilitado, el plano de control de un clúster de usuarios se ejecuta en el propio clúster de usuarios. Cuando Controlplane V2 no está habilitado, el plano de control de un clúster de usuarios se ejecuta en uno o varios nodos del clúster de administrador, lo que se conoce como kubeception.
En la versión 1.28 y posteriores, los nuevos clústeres de administrador de alta disponibilidad no tienen nodos de complementos.

Las direcciones IP de los nodos complementarios del clúster de administrador (si existen) y de los nodos del plano de control del clúster de usuario de kubeception se indican en el archivo de bloque de IPs del clúster de administrador. Los nodos del plano de control del clúster de administrador se configuran en la sección network.controlPlaneIPBlock.ips del archivo de configuración del clúster de administrador.

Como las direcciones IP del archivo de bloque de IPs del clúster de administrador no se asignan a nodos específicos, debes asegurarte de que todas las reglas de cortafuegos que se indican en la siguiente tabla se apliquen a todas las direcciones IP disponibles para el clúster de administrador.

Configura tus reglas de cortafuegos para permitir el siguiente tráfico.

De	Puerto de origen	Para	Puerto	Protocolo	Descripción
Nodo del plano de control del clúster de administrador	1024 - 65535	API de vCenter Server	443	TCP/https	Cambio de tamaño de clústeres.
Nodos de complementos de clústeres de administrador	1024 - 65535	API de vCenter Server	443	TCP/https	Gestión del ciclo de vida de los clústeres de usuarios.
Nodos de complementos de clústeres de administrador	32768- 60999	VIP del servidor de la API de Kubernetes del clúster de administrador VIPs de los servidores de la API de Kubernetes de los clústeres de usuario	443	TCP/https	User cluster create. Actualización del clúster de usuarios. Actualización del clúster de usuarios. Se ha eliminado el clúster de usuarios.
Nodos del plano de control del clúster de administrador	32768- 60999	gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Cualquier URL *.googleapis.com necesaria para los servicios habilitados en los clústeres de administrador o de usuario VIPs de los servidores de la API de Kubernetes de los clústeres de usuario VIP del servidor de la API de Kubernetes del clúster de administrador API de vCenter Server API de F5 BIG-IP del clúster de administrador API de F5 BIG-IP del clúster de usuario Servidores NTP del clúster de administrador Servidores NTP del clúster de usuario Servidores DNS del clúster de administrador Servidores DNS del clúster de usuario	443	TCP/https	Comprobaciones preparatorias (validación). Cuando creas, actualizas o cambias a un plan superior de clústeres de usuarios. Cuando creas, actualizas o actualizas el clúster de administrador.
Nodos del plano de control del clúster de administrador	32768- 60999	Registro de Docker local en las instalaciones del clúster de usuario	Depende de tu registro	TCP/https	Comprobaciones preparatorias (validación). Obligatorio si un clúster de usuario está configurado para usar un registro de Docker privado local en lugar de gcr.io. Cuando creas o actualizas clústeres de usuarios. Cuando creas o actualizas el clúster de administrador.
Nodos del plano de control del clúster de administrador	32768- 60999	Nodos del clúster de administrador Nodos del clúster de usuarios VIPs del balanceador de carga del clúster de administrador VIPs del balanceador de carga del clúster de usuarios		icmp	Comprobaciones preparatorias (validación). Cuando creas, actualizas o cambias a un plan superior de clústeres de usuarios. Cuando creas, actualizas o actualizas el clúster de administrador.
Nodos del plano de control del clúster de administrador	32768- 60999	Nodos de trabajador de clústeres de usuarios	22	ssh	Comprobaciones preparatorias (validación). Cuando actualizas clústeres de usuarios. Cuando actualizas el clúster de administrador.
Nodo de plano de control de clúster de usuarios (solo kubeception)	1024 - 65535	API de vCenter Server	443	TCP/https	Cambio de tamaño de clústeres.
Nodo de plano de control de clúster de usuarios (solo kubeception)	1024 - 65535	cloudresourcemanager.googleapis.com gkeconnect.googleapis.com o `REGION`-gkeconnect.googleapis.com gkehub.googleapis.com	443	TCP/https	Se necesita acceso para registrar la flota. Consulta la nota 2 después de la lista de URLs que se deben incluir en la lista de permitidas.
Nodo de plano de control de clúster de usuarios (solo kubeception)	1024 - 65535	API de F5 BIG-IP	443	TCP/https
Nodo de plano de control de clúster de usuarios (solo kubeception)	1024 - 65535	Registro de Docker local en las instalaciones	Depende de tu registro	TCP/https	Obligatorio si Google Distributed Cloud está configurado para usar un registro de Docker privado local en lugar de gcr.io.
Nodo de plano de control de clúster de usuarios (solo kubeception)	1024 - 65535	gcr.io oauth2.googleapis.com storage.googleapis.com Cualquier URL *.googleapis.com necesaria para los servicios habilitados en el clúster de administrador	443	TCP/https	Descargar imágenes de registros públicos de Docker. No es necesario si se usa un registro de Docker privado.
Cloud Logging Collector, que se ejecuta en un nodo de complemento de clúster de administrador	1024 - 65535	oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com	443	TCP/https
Recopilador de metadatos de Cloud, que se ejecuta en un nodo de complemento de clúster de administrador	1024 - 65535	opsconfigmonitoring.googleapis.com	443	TCP/https
Recopilador de Cloud Monitoring, que se ejecuta en un nodo de complemento de clúster de administrador	1024 - 65535	oauth2.googleapis.com monitoring.googleapis.com	443	TCP/https
Nodo del plano de control del clúster de administrador	1024 - 65535	API de F5 BIG-IP	443	TCP/https
Nodo del plano de control del clúster de administrador	1024 - 65535	Registro de Docker local en las instalaciones	Depende de tu registro	TCP/https	Obligatorio si Google Distributed Cloud está configurado para usar un registro de Docker privado local en lugar de gcr.io.
Nodo del plano de control del clúster de administrador	1024 - 65535	gcr.io oauth2.googleapis.com storage.googleapis.com Cualquier URL *.googleapis.com necesaria para los servicios habilitados en el clúster de administrador	443	TCP/https	Descargar imágenes de registros públicos de Docker. No es necesario si se usa un registro de Docker privado.
Nodos de trabajador del clúster de administrador	1024 - 65535	Nodos de trabajador del clúster de administrador	Todo	179 - bgp 443 - https 5473 - Calico/Typha 9443: métricas de Envoy 10250: puerto de nodo de kubelet	Todos los nodos de trabajo deben estar adyacentes a la capa 2 y no tener ningún firewall.
Nodos de clúster de administrador	1024 - 65535	CIDR de pod del clúster de administrador	todos	Cualquiera.	El tráfico externo recibe SNAT en el primer nodo y se envía a la IP del pod.
Nodos de trabajador del clúster de administrador	todos	Nodos de clúster de usuarios	22	ssh	Obligatorio para kubeception. Comunicación del servidor de la API con kubelet a través de un túnel SSH. Esto se debe omitir en Controlplane V2.
Nodos de clúster de administrador	1024 - 65535	IPs de las VMs de Seesaw LB del clúster de administrador	20255,20257	TCP/http	Envío de configuración de balanceador de carga y monitorización de métricas. Solo es necesario si usas Seesaw de balanceo de carga agrupado.
Nodos de clúster de administrador	1024 - 65535	Nodos de clúster de administrador	7946	TCP/UDP	Comprobación del estado de MetalLB. Solo es necesario si usas Bundled LB MetalLB.
Nodos de clúster de administrador	Todo	IP virtual del plano de control del clúster de usuarios	443	https	Obligatorio para Controlplane V2. Permite que los nodos y los pods del clúster de administración se comuniquen con el servidor de la API de Kubernetes del clúster de usuarios.
Nodos de clúster de administrador	Todo	Nodos del plano de control de clústeres de usuarios	443	https	Obligatorio para Controlplane V2. Permite que los nodos y los pods del clúster de administrador se comuniquen con el servidor de la API de Kubernetes del clúster de usuario mediante la dirección IP de un nodo del plano de control del clúster de usuario.

Reglas de cortafuegos para nodos de clúster de usuarios

En los nodos del clúster de usuarios, sus direcciones IP se indican en el archivo de bloque de IPs.

Al igual que con los nodos del clúster de administrador, no sabes qué dirección IP se usará para cada nodo. Por lo tanto, todas las reglas de los nodos de clúster de usuarios se aplican a cada nodo de clúster de usuarios.

De	Puerto de origen	Para	Puerto	Protocolo	Descripción
Nodo de plano de control de clúster de usuarios (solo Controlplane V2)	1024 - 65535	API de vCenter Server	443	TCP/https	Cambio de tamaño de clústeres.
Nodo de plano de control de clúster de usuarios (solo Controlplane V2)	1024 - 65535	cloudresourcemanager.googleapis.com gkeconnect.googleapis.com o `REGION`-gkeconnect.googleapis.com gkehub.googleapis.com	443	TCP/https	Se necesita acceso para registrar la flota. Consulta la nota 2 después de la lista de URLs que se deben incluir en la lista de permitidas.
Nodo de plano de control de clúster de usuarios (solo Controlplane V2)	1024 - 65535	Registro de Docker local en las instalaciones	Depende de tu registro	TCP/https	Obligatorio si Google Distributed Cloud está configurado para usar un registro de Docker privado local en lugar de gcr.io.
Nodo de plano de control de clúster de usuarios (solo Controlplane V2)	1024 - 65535	gcr.io oauth2.googleapis.com storage.googleapis.com Cualquier URL *.googleapis.com necesaria para los servicios habilitados en el clúster de administrador	443	TCP/https	Descargar imágenes de registros públicos de Docker. No es necesario si se usa un registro de Docker privado.
Nodo de plano de control de clúster de usuarios (solo Controlplane V2)	1024 - 65535	API de F5 BIG-IP	443	TCP/https
Nodos de trabajador de clústeres de usuarios	todos	gcr.io oauth2.googleapis.com storage.googleapis.com Cualquier URL *.googleapis.com necesaria para los servicios habilitados en este clúster	443	TCP/https	Descargar imágenes de registros públicos de Docker. No es necesario si se usa un registro de Docker privado.
Nodos de trabajador de clústeres de usuarios	todos	API de F5 BIG-IP	443	TCP/https
Nodos de trabajador de clústeres de usuarios	todos	VIP del servidor pushprox, que se ejecuta en el clúster de administración.	8443	TCP/https	Tráfico de Prometheus.
Nodos de trabajador de clústeres de usuarios	todos	Nodos de trabajador de clústeres de usuarios	todos	22 - ssh 179 - bgp 443 - https 5473 - calico-typha 9443: métricas de Envoy 10250 - puerto de nodo de kubelet"	Todos los nodos de trabajo deben estar adyacentes a la capa 2 y no tener ningún firewall.
Nodos de trabajador de clústeres de usuarios	todos	IP virtual del plano de control de usuario	443	TCP/https
Nodos de trabajador de clústeres de usuarios	Todo	IP virtual del plano de control de usuario	8132	GRPC	Obligatorio para kubeception. Conexión de Konnectivity. Esto se debe omitir en Controlplane V2.
Nodos de clúster de administrador	Todo	Servidor de vCenter del clúster de usuarios	443	https	Permitir que el clúster de administrador gestione el ciclo de vida del clúster de usuario. Obligatorio si los clústeres de administrador y de usuario tienen servidores vCenter diferentes.
Nodos de clúster de usuarios	1024 - 65535	CIDR de pod de clúster de usuarios	todos	Cualquiera.	El tráfico externo recibe SNAT en el primer nodo y se envía a la IP del pod.
Cloud Logging Collector, que se ejecuta en un nodo de trabajador de un clúster de usuario aleatorio	1024 - 65535	oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com www.googleapis.com	443	TCP/https
Agente de conexión, que se ejecuta en un nodo de trabajo de clúster de usuario aleatorio.	1024 - 65535	cloudresourcemanager.googleapis.com gkeconnect.googleapis.com o `REGION`-gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com	443	TCP/https	Conectar tráfico. Consulta la nota 2 después de la lista de URLs que se pueden incluir en la lista de permitidas.
Cloud Metadata Collector, que se ejecuta en un nodo de trabajador de un clúster de usuario aleatorio	1024 - 65535	opsconfigmonitoring.googleapis.com kubernetesmetadata.googleapis.com	443	TCP/https
Recopilador de Cloud Monitoring, que se ejecuta en un nodo de trabajo de un clúster de usuario aleatorio	1024 - 65535	oauth2.googleapis.com monitoring.googleapis.com	443	TCP/https
Nodos de clúster de usuarios	1024 - 65535	IPs de las VMs de Seesaw LB del clúster de usuarios	20255,20257	TCP/http	Envío de configuración de balanceador de carga y monitorización de métricas. Solo es necesario si usas Seesaw de balanceo de carga agrupado.
Nodos de clúster de usuarios con enableLoadBalancer=true	1024 - 65535	Nodos de clúster de usuarios con enableLoadBalancer=true	7946	TCP/UDP	Comprobación del estado de MetalLB. Solo es necesario si usas Bundled LB MetalLB.
Red de clúster de usuarios	todos	IP virtual del plano de control del clúster de usuarios	443	TCP/https

Reglas de cortafuegos para los componentes restantes

Estas reglas se aplican a todos los demás componentes que no se mencionan en las tablas de los nodos del clúster de administrador y del clúster de usuario.

De	Puerto de origen	Para	Puerto	Protocolo	Descripción
CIDR de pod del clúster de administrador	1024 - 65535	CIDR de pod del clúster de administrador	todos	Cualquiera.	El tráfico entre pods hace un reenvío de capa 2 directamente usando la IP de origen y de destino dentro del CIDR del pod.
CIDR de pod del clúster de administrador	1024 - 65535	Nodos de clúster de administrador	todos	Cualquiera.	Tráfico de retorno del tráfico externo.
CIDR de pod de clúster de usuarios	1024 - 65535	CIDR de pod de clúster de usuarios	todos	Cualquiera.	El tráfico entre pods hace un reenvío de capa 2 directamente usando la IP de origen y de destino dentro del CIDR del pod.
CIDR de pod de clúster de usuarios	1024 - 65535	Nodos de clúster de usuarios	todos	Cualquiera.	Tráfico de retorno del tráfico externo.
Clientes y usuarios finales de aplicaciones	todos	IP virtual de entrada de Istio	80 y 443	TCP	Tráfico de usuarios finales al servicio de entrada de un clúster de usuarios.
Servidor de salto para desplegar la estación de trabajo de administrador	intervalo de puertos efímeros	API de vCenter Server IPs de VMkernel (mgt) de ESXi de los hosts del clúster de destino	443	TCP/https	Comprueba el intervalo de puertos efímeros con `cat /proc/sys/net/ipv4/ip_local_port_range`.
Estación de trabajo de administrador	32768- 60999	gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Cualquier URL *.googleapis.com necesaria para los servicios habilitados en este clúster	443	TCP/https	Descargar imágenes Docker de registros públicos de Docker.
Estación de trabajo de administrador	32768- 60999	gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Cualquier URL *.googleapis.com necesaria para los servicios habilitados en los clústeres de administrador o de usuario VIPs de los servidores de la API de Kubernetes de los clústeres de usuario VIP del servidor de la API de Kubernetes del clúster de administrador API de vCenter Server API de F5 BIG-IP	443	TCP/https	Comprobaciones preparatorias (validación). Cuando creas, actualizas, mejoras o eliminas clústeres con `gkectl`.
Estación de trabajo de administrador	32768- 60999	API de vCenter Server API de F5 BIG-IP	443	TCP/https	Creación de clúster de administrador. User cluster create.
Estación de trabajo de administrador	32768- 60999	IPs de VMkernel (mgt) de ESXi de los hosts del clúster de destino	443	TCP/https	La estación de trabajo de administrador sube el archivo OVA al almacén de datos a través de los hosts ESXi.
Estación de trabajo de administrador	32768- 60999	VIP del servidor de la API de Kubernetes del clúster de administrador VIPs de los servidores de la API de Kubernetes de los clústeres de usuario	443	TCP/https	Creación de clúster de administrador. Actualización del clúster de administrador. User cluster create. Actualización del clúster de usuarios. Se ha eliminado el clúster de usuarios.
Estación de trabajo de administrador	32768- 60999	Nodos de plano de control y de trabajador del clúster de administrador	443	TCP/https	Creación de clúster de administrador. Actualizaciones del plano de control.
Estación de trabajo de administrador	32768- 60999	Todos los nodos del clúster de administrador y todos los nodos del clúster de usuario	443	TCP/https	Validación de la red como parte del comando `gkectl check-config`.
Estación de trabajo de administrador	32768- 60999	IP virtual del Ingress de Istio del clúster de administrador VIP del Istio Ingress de los clústeres de usuarios	443	TCP/https	Validación de la red como parte del comando `gkectl check-config`.
Estación de trabajo de administrador	32768- 60999	oauth2.googleapis.com logging.googleapis.com monitoring.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com	443	TCP/https	Acceso a Cloud Logging y Monitoring.
Estación de trabajo de administrador	32768- 60999	IPs de las VMs de Seesaw LB en clústeres de administradores y de usuarios VIPs de Seesaw LB de clústeres de administradores y de usuarios	20256,20258	TCP/http/gRPC	Comprobación del estado de los balanceadores de carga. Solo es necesario si usas Seesaw de balanceo de carga agrupado.
Estación de trabajo de administrador	32768- 60999	IP del nodo del plano de control del clúster	22	TCP	Obligatorio si necesitas acceso SSH desde la estación de trabajo del administrador al plano de control del clúster de administrador.
Estación de trabajo de administrador	32768- 60999	releases.hashicorp.com	443	TCP/https	Opcional. Consulta la nota 3 después de la lista de URLs que se pueden incluir en la lista de permitidas.
IPs de las VMs del balanceador de carga	32768- 60999	Las IPs de los nodos del clúster correspondiente	10256: comprobación del estado del nodo 30000 - 32767: healthCheckNodePort	TCP/http	Comprobación del estado del nodo. healthCheckNodePort es para servicios con externalTrafficPolicy definido como Local. Solo es necesario si usas Seesaw de balanceo de carga agrupado.
IP propia de F5	1024 - 65535	Todos los nodos de clúster de administradores y de usuarios	30000 - 32767	Cualquiera.	Para el tráfico del plano de datos que F5 BIG-IP balancea la carga a través de una IP virtual de servidor virtual a los puertos de nodo de los nodos del clúster de Kubernetes. Normalmente, la IP propia de F5 está en la misma red o subred que los nodos del clúster de Kubernetes.