Cluster Anthos su VMware è ora Google Distributed Cloud (solo software) per VMware. Per ulteriori informazioni, consulta la panoramica del prodotto.

Questa pagina è stata tradotta dall'API Cloud Translation.

Proxy e regole firewall

Questa pagina mostra come configurare le regole del proxy e del firewall per Google Distributed Cloud.

Indirizzi inseriti nella lista consentita per il proxy

Se la tua organizzazione richiede che il traffico in uscita passi attraverso un server proxy, inserisci nella lista consentita i seguenti indirizzi nel server proxy. Tieni presente che è necessario www.googleapis.com, anziché googleapis.com:

dl.google.com ¹
gcr.io
www.googleapis.com
accounts.google.com
anthos.googleapis.com
anthosgke.googleapis.com
cloudresourcemanager.googleapis.com
compute.googleapis.com
connectgateway.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com ²
gkehub.googleapis.com
gkeonprem.googleapis.com
gkeonprem.mtls.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
kubernetesmetadata.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
oauth2.googleapis.com
opsconfigmonitoring.googleapis.com
securetoken.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
storage.googleapis.com
sts.googleapis.com
release.hashicorp.com (facoltativo) ³

Note:

¹ dl.google.com è richiesto dal programma di installazione dell'SDK Google Cloud.

² Se il cluster è stato registrato nel parco risorse utilizzando una regione di Google Cloud, devi inserire REGION-gkeconnect.googleapis.com (ad esempio us-central1-gkeconnect.googleapis.com). Se non hai specificato una regione, il cluster utilizza l'istanza del servizio Connect globale e tu inserisci gkeconnect.googleapis.com nella lista consentita. Se devi trovare la località dell'appartenenza al parco risorse del cluster, esegui gcloud container fleet memberships list. Per maggiori informazioni, consulta gkeConnect.location.

³ Se non utilizzi il client Terraform sulla workstation di amministrazione per eseguire comandi come terraform apply, non devi inserire releases.hashicorp.com nella lista consentita. Se utilizzi il client Terraform sulla workstation di amministrazione, puoi facoltativamente aggiungere releases.hashicorp.com nella lista consentita per verificare se la versione del client Terraform che stai utilizzando è la più recente eseguendo il comando terraform version.

Inoltre, se il server vCenter ha un indirizzo IP esterno, aggiungine uno alla lista consentita nel server proxy.

Regole firewall per i cluster di amministrazione

Gli indirizzi IP del cluster di amministrazione dipendono dall'abilitazione o meno del piano di controllo V2 sul cluster utente e dalla versione in cui è stato creato il cluster.

Quando il piano di controllo V2 è abilitato, il piano di controllo per un cluster utente viene eseguito sul cluster utente stesso. Quando il piano di controllo V2 non è abilitato, il piano di controllo per un cluster utente viene eseguito su uno o più nodi nel cluster di amministrazione, chiamato kubeception.
Nella versione 1.28 e successive, i nuovi cluster di amministrazione ad alta disponibilità non hanno nodi aggiuntivi.

Gli indirizzi IP dei nodi dei componenti aggiuntivi del cluster di amministrazione (se presenti) e dei nodi del piano di controllo del cluster utente kubeception sono elencati nel file dei blocchi IP del cluster di amministrazione. I nodi del piano di controllo del cluster di amministrazione sono configurati nella sezione network.controlPlaneIPBlock.ips del file di configurazione del cluster di amministrazione.

Poiché gli indirizzi IP nel file di blocco IP del cluster di amministrazione non sono assegnati a nodi specifici, devi assicurarti che tutte le regole firewall elencate nella seguente tabella si applichino a tutti gli indirizzi IP disponibili per il cluster di amministrazione.

Configura le regole del firewall per consentire il traffico seguente.

Da	Porta di origine	A	Porta	Protocollo	Descrizione
Nodo del piano di controllo del cluster di amministrazione	1024 - 65535	API vCenter Server	443	TCP/https	Ridimensionamento del cluster.
Nodi aggiuntivi del cluster di amministrazione	1024 - 65535	API vCenter Server	443	TCP/https	Gestione del ciclo di vita dei cluster utente.
Nodi aggiuntivi del cluster di amministrazione	32.768 - 60.999	VIP del server API Kubernetes del cluster di amministrazione VIP dei server API Kubernetes dei cluster utente	443	TCP/https	Creazione del cluster utente. Aggiornamento del cluster utente. Upgrade del cluster utente. Eliminazione del cluster utente.
Nodi del piano di controllo del cluster di amministrazione	32.768 - 60.999	gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per i cluster di amministrazione o utente VIP dei server API Kubernetes dei cluster utente Kubernetes cluster API NTP del cluster di amministrazione del cluster di amministrazione Kubernetes VIP del server API di amministrazione del cluster API NTP del cluster di amministrazione	443	TCP/https	Controlli preflight (convalida). Quando crei, aggiorni o esegui l'upgrade dei cluster utente. Quando crei, aggiorni o esegui l'upgrade del cluster di amministrazione.
Nodi del piano di controllo del cluster di amministrazione	32.768 - 60.999	Registro Docker locale on-premise del cluster utente	Dipende dal registro	TCP/https	Controlli preflight (convalida). Obbligatorio se il cluster utente GKE on VMware è configurato in modo da utilizzare un registro Docker privato locale anziché gcr.io. Quando crei o esegui l'upgrade dei cluster utente. Quando crei o esegui l'upgrade del cluster di amministrazione.
Nodi del piano di controllo del cluster di amministrazione	32.768 - 60.999	Nodi del cluster di amministrazione Nodi del cluster utente VIP del bilanciatore del carico del cluster di amministrazione VIP del bilanciatore del carico dei cluster utente		icmp	Controlli preflight (convalida). Quando crei, aggiorni o esegui l'upgrade dei cluster utente. Quando crei, aggiorni o esegui l'upgrade del cluster di amministrazione.
Nodi del piano di controllo del cluster di amministrazione	32.768 - 60.999	Nodi worker del cluster utente	22	ssh	Controlli preflight (convalida). Quando esegui l'upgrade dei cluster utente. Quando esegui l'upgrade del cluster di amministrazione.
Nodo del piano di controllo del cluster utente	1024 - 65535	API vCenter Server	443	TCP/https	Ridimensionamento del cluster.
Nodo del piano di controllo del cluster utente	1024 - 65535	cloudresourcemanager.googleapis.com gkeconnect.googleapis.com o `REGION`-gkeconnect.googleapis.com gkehub.googleapis.com	443	TCP/https	L'accesso è richiesto per la registrazione del parco risorse. Consulta la nota 2 dopo l'elenco degli URL da inserire nella lista consentita.
Raccoglitore Cloud Logging, che viene eseguito su un nodo aggiuntivo del cluster di amministrazione	1024 - 65535	oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com	443	TCP/https
Cloud Metadata Collector, che viene eseguito su un nodo aggiuntivo del cluster di amministrazione	1024 - 65535	opsconfigmonitoring.googleapis.com	443	TCP/https
Il raccoglitore Cloud Monitoring, che viene eseguito su un nodo aggiuntivo del cluster di amministrazione	1024 - 65535	oauth2.googleapis.com monitoring.googleapis.com	443	TCP/https
Nodo del piano di controllo del cluster di amministrazione	1024 - 65535	API BIG-IP di F5	443	TCP/https
Nodo del piano di controllo del cluster utente	1024 - 65535	API BIG-IP di F5	443	TCP/https
Nodo del piano di controllo del cluster di amministrazione	1024 - 65535	Registro Docker locale on-premise	Dipende dal registro	TCP/https	Obbligatorio se GKE su VMware è configurato in modo da utilizzare un registro Docker privato locale anziché gcr.io.
Nodo del piano di controllo del cluster utente	1024 - 65535	Registro Docker locale on-premise	Dipende dal registro	TCP/https	Obbligatorio se GKE su VMware è configurato in modo da utilizzare un registro Docker privato locale anziché gcr.io.
Nodo del piano di controllo del cluster di amministrazione	1024 - 65535	gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per il cluster di amministrazione	443	TCP/https	Scaricare immagini dai registri Docker pubblici. Non è obbligatorio se utilizzi un registro Docker privato.
Nodo del piano di controllo del cluster utente	1024 - 65535	gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per il cluster di amministrazione	443	TCP/https	Scaricare immagini dai registri Docker pubblici. Non è obbligatorio se utilizzi un registro Docker privato.
Nodi worker del cluster di amministrazione	1024 - 65535	Nodi worker del cluster di amministrazione	Tutti	179 - bgp 443 - https 5473 - Calico/Typha 9443 - Metriche Envoy 10250 - Porta del nodo kubelet	Tutti i nodi worker devono essere adiacenti di livello 2 e privi di firewall.
Nodi del cluster di amministrazione	1024 - 65535	CIDR pod del cluster di amministrazione	tutte	tutte	Il traffico esterno viene sottoposto a SNAT sul primo nodo e inviato all'IP del pod.
Nodi worker del cluster di amministrazione	tutte	Nodi del cluster utente	22	ssh	Obbligatorio per kubeception. Comunicazione tra server API e kubelet tramite un tunnel SSH. Questo comando deve essere ignorato per il piano di controllo V2.
Nodi del cluster di amministrazione	1024 - 65535	IP delle VM LB di Seesaw del cluster di amministrazione	20255,20257	TCP/http	Push della configurazione bilanciatore del carico e monitoraggio delle metriche. Necessario solo se utilizzi LB Seesaw in bundle.
Nodi del cluster di amministrazione	1024 - 65535	Nodi del cluster di amministrazione	7946	TCP/UDP	Controllo di integrità MetalLB. Necessario solo se utilizzi LB MetalLB in bundle.
Nodi del cluster di amministrazione	Tutti	VIP del piano di controllo del cluster utente	443	https	Obbligatorio per il piano di controllo V2. Consenti a nodi e pod nel cluster di amministrazione di comunicare con il server API Kubernetes del cluster utente.
Nodi del cluster di amministrazione	Tutti	Nodi del piano di controllo del cluster utente	443	https	Obbligatorio per il piano di controllo V2. Consenti a nodi e pod nel cluster di amministrazione di comunicare con il server API Kubernetes del cluster utente utilizzando l'indirizzo IP di un nodo del piano di controllo del cluster utente.

Regole firewall per i nodi del cluster utente

Nei nodi del cluster utente, i relativi indirizzi IP sono elencati nel file dei blocchi IP.

Come per i nodi del cluster di amministrazione, non sai quale indirizzo IP verrà utilizzato per quale nodo. Di conseguenza, tutte le regole nei nodi del cluster utente si applicano a ciascun nodo del cluster utente.

Da	Porta di origine	A	Porta	Protocollo	Descrizione
Nodi worker del cluster utente	tutte	gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per questo cluster	443	TCP/https	Scaricare immagini dai registri Docker pubblici. Non è obbligatorio se utilizzi un registro Docker privato.
Nodi worker del cluster utente	tutte	API BIG-IP di F5	443	TCP/https
Nodi worker del cluster utente	tutte	VIP del server pushprox, eseguito nel cluster di amministrazione.	8443	TCP/https	Traffico Prometheus.
Nodi worker del cluster utente	tutte	Nodi worker del cluster utente	tutte	22 - ssh 179 - bgp 443 - https 5473 - calico-tifa 9443 - Metriche di invio 10250 - Porta del nodo kubelet"	Tutti i nodi worker devono essere adiacenti di livello 2 e privi di firewall.
Nodi worker del cluster utente	tutte	VIP piano di controllo utente	443	TCP/https
Nodi worker del cluster utente	Tutti	VIP piano di controllo utente	8132	GRPC	Obbligatorio per kubeception. Connessione Konnectivity. Questo comando deve essere ignorato per il piano di controllo V2.
Nodi del cluster di amministrazione	Tutti	Server vCenter del cluster utente	443	https	Consenti al cluster di amministrazione di gestire il ciclo di vita del cluster utente. Obbligatorio se i cluster di amministrazione e utente hanno server vCenter diversi.
Nodi del cluster utente	1024 - 65535	CIDR pod del cluster utente	tutte	tutte	Il traffico esterno viene sottoposto a SNAT sul primo nodo e inviato all'IP del pod.
Raccoglitore Cloud Logging, che viene eseguito su un nodo worker casuale del cluster utente	1024 - 65535	oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com www.googleapis.com	443	TCP/https
Agente Connect, che viene eseguito su un nodo worker casuale del cluster utente.	1024 - 65535	cloudresourcemanager.googleapis.com gkeconnect.googleapis.com o `REGION`-gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com	443	TCP/https	Connetti il traffico. Consulta la nota 2 dopo l'elenco degli URL da inserire nella lista consentita.
Cloud Metadata Collector, eseguito su un nodo worker casuale del cluster utente	1024 - 65535	opsconfigmonitoring.googleapis.com kubernetesmetadata.googleapis.com	443	TCP/https
Il raccoglitore Cloud Monitoring, che viene eseguito su un nodo worker casuale del cluster utente	1024 - 65535	oauth2.googleapis.com monitoring.googleapis.com	443	TCP/https
Nodi del cluster utente	1024 - 65535	IP delle VM LB di Seesaw del cluster utente	20255,20257	TCP/http	Push della configurazione bilanciatore del carico e monitoraggio delle metriche. Necessario solo se utilizzi LB Seesaw in bundle.
I nodi del cluster degli utenti con abilitaLoadBalancer=true	1024 - 65535	I nodi del cluster degli utenti con abilitaLoadBalancer=true	7946	TCP/UDP	Controllo di integrità MetalLB. Necessario solo se utilizzi LB MetalLB in bundle.
Rete di cluster utente	tutte	VIP del piano di controllo del cluster utente	443	TCP/https

Regole firewall per i componenti rimanenti

Queste regole si applicano a tutti gli altri componenti non elencati nelle tabelle per i nodi del cluster di amministrazione e del cluster utente.

Da	Porta di origine	A	Porta	Protocollo	Descrizione
CIDR pod del cluster di amministrazione	1024 - 65535	CIDR pod del cluster di amministrazione	tutte	tutte	Il traffico tra i pod esegue l'inoltro L2 direttamente utilizzando l'IP di origine e di destinazione all'interno del CIDR dei pod.
CIDR pod del cluster di amministrazione	1024 - 65535	Nodi del cluster di amministrazione	tutte	tutte	Restituisci il traffico di traffico esterno.
CIDR pod del cluster utente	1024 - 65535	CIDR pod del cluster utente	tutte	tutte	Il traffico tra i pod esegue l'inoltro L2 direttamente utilizzando l'IP di origine e di destinazione all'interno del CIDR dei pod.
CIDR pod del cluster utente	1024 - 65535	Nodi del cluster utente	tutte	tutte	Restituisci il traffico di traffico esterno.
Client e utenti finali delle applicazioni	tutte	VIP del traffico Istio in entrata	80, 443	TCP	Traffico degli utenti finali verso il servizio in entrata di un cluster utente.
Passa al server per eseguire il deployment della workstation di amministrazione	intervallo di porte temporanee	API vCenter Server IP VMkernel ESXi (mgt) degli host nel cluster di destinazione	443	TCP/https	Controlla l'intervallo di porte temporanee da "cat /proc/sys/net/ipv4/ip_local_port_range".
Workstation di amministrazione	32.768 - 60.999	gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per questo cluster	443	TCP/https	Scaricare immagini Docker dai registri Docker pubblici.
Workstation di amministrazione	32.768 - 60.999	gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per i servizi abilitati per i cluster di amministrazione o utente VIP dei server API Kubernetes dei cluster utente API del server API Kubernetes v IP Server-API Kubernetes del cluster di amministrazione	443	TCP/https	Controlli preflight (convalida). Quando crei, aggiorni, esegui l'upgrade o elimini i cluster utilizzando `gkectl`.
Workstation di amministrazione	32.768 - 60.999	API vCenter Server API BIG-IP di F5	443	TCP/https	Creazione del cluster di amministrazione. Creazione del cluster utente.
Workstation di amministrazione	32.768 - 60.999	IP VMkernel ESXi (mgt) degli host nel cluster di destinazione	443	TCP/https	La workstation di amministrazione carica l'OVA nel datastore tramite gli host ESXi.
Workstation di amministrazione	32.768 - 60.999	VIP del server API Kubernetes del cluster di amministrazione VIP dei server API Kubernetes dei cluster utente	443	TCP/https	Creazione del cluster di amministrazione. Aggiornamento del cluster di amministrazione. Creazione del cluster utente. Aggiornamento del cluster utente. Eliminazione del cluster utente.
Workstation di amministrazione	32.768 - 60.999	Nodo del piano di controllo e nodi worker del cluster di amministrazione	443	TCP/https	Creazione del cluster di amministrazione. Upgrade dei piani di controllo.
Workstation di amministrazione	32.768 - 60.999	Tutti i nodi del cluster di amministrazione e tutti i nodi del cluster utente	443	TCP/https	Convalida della rete come parte del comando `gkectl check-config`.
Workstation di amministrazione	32.768 - 60.999	VIP del traffico Istio in entrata del cluster di amministrazione VIP del traffico Istio in entrata dei cluster utente	443	TCP/https	Convalida della rete come parte del comando `gkectl check-config`.
Workstation di amministrazione	32.768 - 60.999	oauth2.googleapis.com logging.googleapis.com monitoring.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com	443	TCP/https	Accesso a Cloud Logging e Monitoring.
Workstation di amministrazione	32.768 - 60.999	IP delle VM LB di Seesaw nei cluster di amministrazione e utente Seesaw LB VIP dei cluster di amministrazione e degli utenti	20256,20258	TCP/http/gRPC	Controllo di integrità dei libbre. Necessario solo se utilizzi LB Seesaw in bundle.
Workstation di amministrazione	32.768 - 60.999	IP del nodo del piano di controllo del cluster	22	TCP	Obbligatorio se hai bisogno dell'accesso SSH dalla workstation di amministrazione al piano di controllo del cluster di amministrazione.
Workstation di amministrazione	32.768 - 60.999	releases.hashicorp.com	443	TCP/https	Facoltativo. Consulta la nota 3 dopo l'elenco degli URL da inserire nella lista consentita.
IP VM bilanciatore del carico	32.768 - 60.999	IP dei nodi del cluster corrispondente	10256: controllo di integrità dei nodi 30000-32767: healthCheckNodePort	TCP/http	Controllo di integrità del nodo. healthCheckNodePort è destinato ai servizi con externalTrafficPolicy impostato su Local. Necessario solo se utilizzi LB Seesaw in bundle.
Auto-IP F5	1024 - 65535	Tutti i nodi di amministrazione e tutti i nodi del cluster utente	30.000 - 32.767	tutte	Per il traffico del piano dati che F5 BIG-IP bilancia il carico tramite un VIP del server virtuale alle porte dei nodi sui nodi del cluster Kubernetes. In genere l'IP autonomo F5 si trova sulla stessa rete/subnet dei nodi del cluster Kubernetes.