Auf dieser Seite wird gezeigt, wie Sie Proxy- und Firewallregeln für Google Distributed Cloud (nur Software) für VMware einrichten. Diese Seite richtet sich an Netzwerkspezialisten, die Datensicherheitssysteme wie Firewalls implementieren. Weitere Informationen zu gängigen Rollen und Beispielaufgaben, auf die wir in Google Cloud-Inhalten verweisen, finden Sie unter Häufig verwendete GKE Enterprise-Nutzerrollen und -Aufgaben.
Adressen für Ihren Proxy auf die Zulassungsliste setzen
Wenn in Ihrer Organisation ausgehender Traffic einen Proxyserver passieren muss, setzen Sie die folgenden Adressen auf die Zulassungsliste für den Proxyserver: Beachten Sie, dass www.googleapis.com anstelle von googleapis.com benötigt wird:
- dl.google.com 1
- gcr.io
- www.googleapis.com
- accounts.google.com
- anthos.googleapis.com
- anthosgke.googleapis.com
- cloudresourcemanager.googleapis.com
- compute.googleapis.com
- connectgateway.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com 2
- gkehub.googleapis.com
- gkeonprem.googleapis.com
- gkeonprem.mtls.googleapis.com
- iam.googleapis.com
- iamcredentials.googleapis.com
- kubernetesmetadata.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- opsconfigmonitoring.googleapis.com
- securetoken.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- sts.googleapis.com
- releases.hashicorp.com (optional) 3
Hinweise:
1 dl.google.com wird vom Google Cloud SDK-Installationsprogramm benötigt.
2 Wenn Ihr Cluster über eine Google Cloud-Region bei der Flotte registriert wurde, muss REGION-gkeconnect.googleapis.com auf die Zulassungsliste (zum Beispiel us-central1-gkeconnect.googleapis.com). Wenn Sie keine Region angegeben haben, verwendet der Cluster die globale Connect-Dienstinstanz und Sie setzen gkeconnect.googleapis.com auf die Zulassungsliste. Wenn Sie den Standort der Flottenmitgliedschaft für Ihren Cluster ermitteln müssen, führen Sie gcloud container fleet memberships list aus. Weitere Informationen finden Sie unter gkeConnect.location.
3 Wenn Sie den Terraform-Client auf Ihrer Administrator-Workstation nicht zum Ausführen von Befehlen wie terraform apply verwenden, müssen Sie releases.hashicorp.com nicht auf die Zulassungsliste setzen. Wenn Sie den Terraform-Client auf Ihrer Administrator-Workstation verwenden, können Sie releases.hashicorp.com optional auf die Zulassungsliste setzen. So können Sie mit dem Befehl terraform version prüfen, ob die von Ihnen verwendete Terraform-Clientversion die neueste ist.
Wenn außerdem Ihr vCenter-Server eine externe IP-Adresse hat, setzen Sie diese Adresse auf die Zulassungsliste für den Proxyserver.
Firewallregeln für Admin-Cluster
Die IP-Adressen des Administratorclusters hängen davon ab, ob die Steuerungsebene V2 im Nutzercluster aktiviert ist und mit welcher Version der Cluster erstellt wurde.
Wenn die Steuerungsebene V2 aktiviert ist, wird die Steuerungsebene für einen Nutzercluster im Nutzercluster selbst ausgeführt. Wenn die Steuerungsebene V2 nicht aktiviert ist, wird die Steuerungsebene für einen Nutzercluster auf einem oder mehreren Knoten im Administratorcluster ausgeführt. Dies wird als Kubeception bezeichnet.
In Version 1.28 und höher haben neue HA-Administratorcluster keine Add-on-Knoten.
Die IP-Adressen der Add-on-Knoten des Administratorclusters (falls vorhanden) und der Knoten der Steuerungsebene des Nutzerclusters von Kubeception sind in der IP-Blockdatei des Administratorclusters aufgeführt. Die Knoten der Steuerungsebene des Administratorclusters werden in der Konfigurationsdatei des Administratorclusters im Abschnitt network.controlPlaneIPBlock.ips konfiguriert.
Da die IP-Adressen in der IP-Blockdatei des Administratorclusters keinen bestimmten Knoten zugewiesen sind, müssen Sie dafür sorgen, dass alle in der folgenden Tabelle aufgeführten Firewallregeln für alle IP-Adressen gelten, die für den Administratorcluster verfügbar sind.
Richten Sie Ihre Firewallregeln so ein, dass der folgende Traffic zugelassen wird.
Von |
Quellport |
Bis |
Port |
Protokoll |
Beschreibung |
|---|---|---|---|---|---|
|
Knoten der Administratorcluster-Steuerungsebene |
1024 – 65535 |
vCenter Server API |
443 |
TCP/https |
Größenanpassung für Cluster |
|
Add-on-Knoten für Administratorcluster |
1024 – 65535 |
vCenter Server API |
443 |
TCP/https |
Verwaltung des Nutzercluster-Lebenszyklus |
|
Add-on-Knoten für Administratorcluster |
32768 – 60999 |
VIP des Kubernetes-API-Servers des Administratorclusters VIPs der Kubernetes-API-Server von Nutzerclustern |
443 |
TCP/https |
Nutzercluster wurde erstellt. Nutzercluster wurde aktualisiert. Nutzercluster wurde aktualisiert. Nutzercluster wurde gelöscht. |
|
Knoten der Administratorcluster-Steuerungsebene |
32768 – 60999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die aktivierten Dienste des Administrator- oder Nutzerclusters erforderlich sind VIPs der Kubernetes API-Server der Nutzercluster VIP des Kubernetes API-Servers des Administratorclusters vCenter Server API F5 BIG_IP API des Administratorclusters F5 BIG_IP API des Nutzerclusters NTP-Server des Administratorclusters NTP-Server des Nutzerclusters DNS-Server des Administratorclusters DNS-Server des Nutzerclusters |
443 |
TCP/https |
Preflight-Prüfungen (Validierung) Wenn Sie Nutzercluster erstellen, aktualisieren oder ein Upgrade durchführen. Wenn Sie den Administratorcluster erstellen, aktualisieren oder ein Upgrade durchführen. |
|
Knoten der Steuerungsebene des Administratorclusters |
32768 – 60999 |
Nutzercluster – lokale Docker-Registry vor Ort |
Hängt von Ihrer Registry ab |
TCP/https |
Preflight-Prüfungen (Validierung) Erforderlich, wenn ein Nutzercluster für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist. Wenn Sie Nutzercluster erstellen oder aktualisieren. Wenn Sie Administratorcluster erstellen oder aktualisieren. |
|
Knoten der Administratorcluster-Steuerungsebene |
32768 – 60999 |
Administratorclusterknoten Nutzerclusterknoten Load Balancer-VIPs des Administratorclusters Load Balancer-VIPs des Nutzerclusters |
icmp |
Preflight-Prüfungen (Validierung) Wenn Sie Nutzercluster erstellen, aktualisieren oder ein Upgrade durchführen. Wenn Sie den Administratorcluster erstellen, aktualisieren oder ein Upgrade durchführen. |
|
|
Knoten der Administratorcluster-Steuerungsebene |
32768 – 60999 |
Nutzercluster-Worker-Knoten |
22 |
ssh |
Preflight-Prüfungen (Validierung) Wenn Sie ein Upgrade für Nutzercluster durchführen. Wenn Sie ein Upgrade des Administratorclusters durchführen. |
|
Knoten der Nutzercluster-Steuerungsebene (nur Kubeception) |
1024 – 65535 |
vCenter Server API |
443 |
TCP/https |
Größenanpassung für Cluster |
|
Knoten der Nutzercluster-Steuerungsebene (nur Kubeception) |
1024 – 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com oder REGION-gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
Zugriff auf die Flottenregistrierung ist erforderlich. Weitere Informationen finden Sie in Hinweis 2 nach der Liste der URLs, die der Zulassungsliste hinzugefügt werden sollen. |
|
Knoten der Nutzercluster-Steuerungsebene (nur Kubeception) |
1024 – 65535 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
Knoten der Nutzercluster-Steuerungsebene (nur Kubeception) |
1024 – 65535 |
Lokale Docker-Registry |
Hängt von Ihrer Registry ab |
TCP/https |
Erforderlich, wenn Google Distributed Cloud für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist. |
|
Knoten der Nutzercluster-Steuerungsebene (nur Kubeception) |
1024 – 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für den Administratorcluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
|
Cloud Logging Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird |
1024 – 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
|
Cloud Metadata Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird |
1024 – 65535 |
opsconfigmonitoring.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird |
1024 – 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
|
Knoten der Administratorcluster-Steuerungsebene |
1024 – 65535 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
Knoten der Administratorcluster-Steuerungsebene |
1024 – 65535 |
Lokale Docker-Registry |
Hängt von Ihrer Registry ab |
TCP/https |
Erforderlich, wenn Google Distributed Cloud für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist. |
|
Knoten der Administratorcluster-Steuerungsebene |
1024 – 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für den Administratorcluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
|
Administratorcluster-Worker-Knoten |
1024 – 65535 |
Administratorcluster-Worker-Knoten |
Alle |
179 – bgp 443 – https 5473 – Calico/Typha 9443 – Envoy-Messwerte 10250 – Kubelet-Knotenport |
Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben. |
|
Administratorcluster-Knoten |
1024 – 65535 |
Administratorcluster-Pod-CIDR |
Alle |
Beliebig |
Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet. |
|
Administratorcluster-Worker-Knoten |
Alle |
Nutzerclusterknoten |
22 |
ssh |
Erforderlich für Kubeception. API-Server für Kubelet-Kommunikation über einen SSH-Tunnel. Für die Steuerungsebene V2 sollte dieser Schritt übersprungen werden. |
|
Administratorcluster-Knoten |
1024 – 65535 |
IP-Adressen der Seesaw-LB-VMs des Administratorclusters |
20255, 20257 |
TCP/http |
LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden |
|
Administratorcluster-Knoten |
1024 – 65535 |
Administratorcluster-Knoten |
7946 |
TCP/UDP |
MetalLB-Systemdiagnose Nur erforderlich, wenn Sie die Bundled LB MetalLB verwenden. |
|
Administratorcluster-Knoten |
Alle |
VIP der Steuerungsebene des Nutzerclusters |
443 |
https |
Erforderlich für die Steuerungsebene V2. Knoten und Pods im Administratorcluster dürfen mit dem Kubernetes API-Server des Nutzerclusters kommunizieren. |
|
Administratorcluster-Knoten |
Alle |
Knoten für die Steuerungsebene des Nutzerclusters |
443 |
https |
Erforderlich für die Steuerungsebene V2. Knoten und Pods im Administratorcluster dürfen über die IP-Adresse eines Knotens der Steuerungsebene des Nutzerclusters mit dem Kubernetes API-Server des Nutzerclusters kommunizieren. |
Firewallregeln für Nutzerclusterknoten
Die IP-Adressen der Nutzercluster werden in der IP-Blockdatei aufgeführt.
Wie bei den Knoten eines Administratorclusters wissen Sie nicht, welche IP-Adresse für welchen Knoten verwendet wird. Folglich gelten alle Regeln in den Nutzerclusterknoten für jeden Nutzerclusterknoten.
Von |
Quellport |
Bis |
Port |
Protokoll |
Beschreibung |
|---|---|---|---|---|---|
|
Knoten der Steuerungsebene des Nutzerclusters (nur Controlplane V2) |
1024 – 65535 |
vCenter Server API |
443 |
TCP/https |
Größenanpassung für Cluster |
|
Knoten der Steuerungsebene des Nutzerclusters (nur Controlplane V2) |
1024 – 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com oder REGION-gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
Zugriff auf die Flottenregistrierung ist erforderlich. Weitere Informationen finden Sie in Hinweis 2 nach der Liste der URLs, die der Zulassungsliste hinzugefügt werden sollen. |
|
Knoten der Steuerungsebene des Nutzerclusters (nur Controlplane V2) |
1024 – 65535 |
Lokale Docker-Registry |
Hängt von Ihrer Registry ab |
TCP/https |
Erforderlich, wenn Google Distributed Cloud für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist. |
|
Knoten der Steuerungsebene des Nutzerclusters (nur Controlplane V2) |
1024 – 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für den Administratorcluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
|
Knoten der Steuerungsebene des Nutzerclusters (nur Controlplane V2) |
1024 – 65535 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
Nutzercluster-Worker-Knoten |
Alle |
gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für diesen Cluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
|
Nutzercluster-Worker-Knoten |
Alle |
F5 BIG-IP API |
443 |
TCP/https |
|
|
Nutzercluster-Worker-Knoten |
Alle |
VIP des pushprox-Servers, der im Administratorcluster ausgeführt wird |
8443 |
TCP/https |
Prometheus-Traffic |
|
Nutzercluster-Worker-Knoten |
Alle |
Nutzercluster-Worker-Knoten |
Alle |
22 – ssh 179 – bgp 443 – https 5473 – Calico/Typha 9443 – Envoy-Messwerte 10250 – Kubelet-Knotenport |
Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben. |
|
Nutzercluster-Worker-Knoten |
Alle |
VIP der Nutzersteuerungsebene |
443 |
TCP/https |
|
|
Nutzercluster-Worker-Knoten |
Alle |
VIP der Nutzersteuerungsebene |
8132 |
GRPC |
Erforderlich für Kubeception. Konnektivitätsverbindung. Für die Steuerungsebene V2 sollte dieser Schritt übersprungen werden. |
|
Administratorcluster-Knoten |
Alle |
vCenter-Server des Nutzerclusters |
443 |
https |
Dem Administratorcluster erlauben, den Lebenszyklus des Nutzerclusters zu verwalten. Erforderlich, wenn der Administrator- und der Nutzercluster unterschiedliche vCenter-Server haben. |
|
Nutzerclusterknoten |
1024 – 65535 |
Nutzercluster-Pod-CIDR |
Alle |
Beliebig |
Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet. |
|
Cloud Logging Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
1024 – 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
|
Connect Agent, das auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
1024 – 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com oder REGION-gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com |
443 |
TCP/https |
Connect-Traffic Weitere Informationen finden Sie in Hinweis 2 nach der Liste der URLs, die der Zulassungsliste hinzugefügt werden sollen. |
|
Cloud Metadata Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
1024 – 65535 |
opsconfigmonitoring.googleapis.com kubernetesmetadata.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
1024 – 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
|
Nutzerclusterknoten |
1024 – 65535 |
IP-Adressen der Seesaw-LB-VMs des Nutzerclusters |
20255, 20257 |
TCP/http |
LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden |
|
Nutzerclusterknoten mit enableLoadBalancer=true |
1024 – 65535 |
Nutzerclusterknoten mit enableLoadBalancer=true |
7946 |
TCP/UDP |
MetalLB-Systemdiagnose Nur erforderlich, wenn Sie die Bundled LB MetalLB verwenden. |
|
Nutzerclusternetzwerk |
Alle |
VIP der Steuerungsebene des Nutzerclusters |
443 |
TCP/https |
Firewallregeln für die verbleibenden Komponenten
Diese Regeln gelten für alle anderen Komponenten, die in den Tabellen für den Administratorcluster und die Nutzerclusterknoten nicht aufgeführt sind.
Von |
Quellport |
Bis |
Port |
Protokoll |
Beschreibung |
|---|---|---|---|---|---|
|
Administratorcluster-Pod-CIDR |
1024 – 65535 |
Administratorcluster-Pod-CIDR |
Alle |
Beliebig |
Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR. |
|
Administratorcluster-Pod-CIDR |
1024 – 65535 |
Administratorcluster-Knoten |
Alle |
Beliebig |
Rücktraffic des externen Traffics |
|
Nutzercluster-Pod-CIDR |
1024 – 65535 |
Nutzercluster-Pod-CIDR |
Alle |
Beliebig |
Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR. |
|
Nutzercluster-Pod-CIDR |
1024 – 65535 |
Nutzerclusterknoten |
Alle |
Beliebig |
Rücktraffic des externen Traffics |
|
Clients und Endnutzer von Anwendungen |
Alle |
VIP des eingehenden Istio-Traffics |
80, 443 |
TCP |
Endnutzer-Traffic zum Dienst für eingehenden Traffic eines Nutzerclusters |
|
Jump-Server zum Bereitstellen der Administrator-Workstation |
Siitzungspezifischer Portbereich |
vCenter Server API ESXi-VMkernel-IP-Adressen (Verwaltung) von Hosts im Zielcluster |
443 |
TCP/https |
Sitzungsspezifischen Portbereich aus „cat /proc/sys/net/ipv4/ip_local_port_range“ prüfen. |
|
Administratorworkstation |
32768 – 60999 |
gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für diesen Cluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Docker-Images aus öffentlichen Docker-Registries herunterladen |
|
Administratorworkstation |
32768 – 60999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für aktivierten Dienste des Administrator- oder Nutzerclusters erforderlich sind VIPs der Kubernetes API-Server der Nutzercluster VIP des Kubernetes API-Servers des Administratorclusters vCenter Server API F5 BIG-IP API |
443 |
TCP/https |
Preflight-Prüfungen (Validierung) Wenn Sie Cluster mit |
|
Administratorworkstation |
32768 – 60999 |
vCenter Server API F5 BIG-IP API |
443 |
TCP/https |
Administratorcluster wurde erstellt. Nutzercluster wurde erstellt. |
|
Administratorworkstation |
32768 – 60999 |
ESXi-VMkernel-IP-Adressen (Verwaltung) von Hosts im Zielcluster |
443 |
TCP/https |
Die Administrator-Workstation lädt die OVA-Datei über die ESXi-Hosts in den Datenspeicher hoch. |
|
Administratorworkstation |
32768 – 60999 |
VIP des Kubernetes-API-Servers des Administratorclusters VIPs der Kubernetes-API-Server von Nutzerclustern |
443 |
TCP/https |
Administratorcluster wurde erstellt. Administratorcluster wurde aktualisiert. Nutzercluster wurde erstellt. Nutzercluster wurde aktualisiert. Nutzercluster wurde gelöscht. |
|
Administratorworkstation |
32768 – 60999 |
Knoten und Worker-Knoten der Administratorcluster-Steuerungsebene |
443 |
TCP/https |
Administratorcluster wurde erstellt. Aktualisierungen der Steuerungsebene |
|
Administratorworkstation |
32768 – 60999 |
Alle Administratorcluster-Knoten und alle Nutzercluster-Knoten |
443 |
TCP/https |
Netzwerkvalidierung als Teil des Befehls |
|
Administratorworkstation |
32768 – 60999 |
VIP des eingehenden Istio-Traffics des Administratorclusters VIP des eingehenden Istio-Traffics von Nutzerclustern |
443 |
TCP/https |
Netzwerkvalidierung als Teil des Befehls |
|
Administratorworkstation |
32768 – 60999 |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
Zugriff auf Cloud Logging und Monitoring |
|
Administratorworkstation |
32768 – 60999 |
IP-Adressen der Seesaw-LB-VMs in Administrator- und Nutzerclustern Seesaw-LB-VIPs von Administrator- und Nutzerclustern |
20256, 20258 |
TCP/http/gRPC |
Systemdiagnose von lokalen LBs. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden |
|
Administratorworkstation |
32768 – 60999 |
Knoten-IP der Cluster-Steuerungsebene |
22 |
TCP |
Erforderlich, wenn Sie von der Administratorworkstation aus SSH-Zugriff auf die Administratorcluster-Steuerungsebene benötigen. |
| Administratorworkstation | 32768 – 60999 | releases.hashicorp.com | 443 | TCP/https | Optional. Weitere Informationen finden Sie in Hinweis 3 nach der Liste der URLs, die der Zulassungsliste hinzugefügt werden sollen. |
|
LB-VM-IP-Adressen |
32768 – 60999 |
Knoten-IP-Adressen des entsprechenden Clusters |
10256: Knoten-Systemdiagnose |
TCP/http |
Knoten-Systemdiagnose. healthCheckNodePort ist für Dienste bestimmt, bei denen externalTrafficPolicy auf "Local" gesetzt ist. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden |
|
F5-Self-IP |
1024 – 65535 |
Alle Administrator- und Nutzercluster-Knoten |
30000 bis 32767 |
Beliebig |
Für den Traffic auf Datenebene, für den F5 BIG-IP über eine VIP eines virtuellen Servers ein Load-Balancing zu den Knotenports auf den Kubernetes-Clusterknoten durchführt In der Regel befindet sich die F5-Selbst-IP im selben Netzwerk/Subnetz wie die Kubernetes-Clusterknoten. |