Auf dieser Seite wird gezeigt, wie Sie Proxy- und Firewallregeln für Google Distributed Cloud einrichten.
Adressen für Ihren Proxy auf die Zulassungsliste setzen
Wenn in Ihrer Organisation ausgehender Traffic einen Proxyserver passieren muss, setzen Sie die folgenden Adressen auf die Zulassungsliste für den Proxyserver: Beachten Sie, dass www.googleapis.com anstelle von googleapis.com benötigt wird:
- dl.google.com1.
- gcr.io
- www.googleapis.com
- accounts.google.com
- anthos.googleapis.com
- anthosgke.googleapis.com
- cloudresourcemanager.googleapis.com
- compute.googleapis.com
- connectgateway.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com 2
- gkehub.googleapis.com
- gkeonprem.googleapis.com
- gkeonprem.mtls.googleapis.com
- iam.googleapis.com
- iamcredentials.googleapis.com
- kubernetesmetadata.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- opsconfigmonitoring.googleapis.com
- securetoken.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- sts.googleapis.com
- releases.hashicorp.com (optional) 3
Hinweise:
1 dl.google.com ist für das Google Cloud SDK-Installationsprogramm erforderlich.
2 Wenn Ihr Cluster über eine Google Cloud-Region bei der Flotte registriert wurde, müssen Sie REGION-gkeconnect.googleapis.com auf die Zulassungsliste setzen (z. B. us-central1-gkeconnect.googleapis.com). Wenn Sie keine Region angegeben haben, verwendet der Cluster die globale Connect-Dienstinstanz und Sie setzen gkeconnect.googleapis.com auf die Zulassungsliste. Wenn Sie den Standort der Flottenmitgliedschaft Ihres Clusters ermitteln müssen, führen Sie gcloud container fleet memberships list aus. Weitere Informationen finden Sie unter gkeConnect.location.
3 Wenn Sie den Terraform-Client auf Ihrer Administrator-Workstation nicht zum Ausführen von Befehlen wie terraform apply verwenden, müssen Sie releases.hashicorp.com nicht auf die Zulassungsliste setzen. Wenn Sie den Terraform-Client auf der Administrator-Workstation verwenden, können Sie releases.hashicorp.com optional auf die Zulassungsliste setzen. Damit können Sie mit dem Befehl terraform version prüfen, ob die von Ihnen verwendete Terraform-Clientversion die neueste ist.
Wenn außerdem Ihr vCenter-Server eine externe IP-Adresse hat, setzen Sie diese Adresse auf die Zulassungsliste für den Proxyserver.
Firewallregeln für Administratorcluster
Die IP-Adressen des Administratorclusters hängen davon ab, ob Steuerungsebene V2 auf dem Nutzercluster aktiviert ist und von der Version, in der der Cluster erstellt wurde.
Wenn die Steuerungsebene V2 aktiviert ist, wird die Steuerungsebene für einen Nutzercluster auf dem Nutzercluster selbst ausgeführt. Wenn die Steuerungsebene V2 nicht aktiviert ist, wird die Steuerungsebene für einen Nutzercluster auf einem oder mehreren Knoten im Administratorcluster ausgeführt. Dies wird als kubeception bezeichnet.
Ab Version 1.28 haben neue Hochverfügbarkeits-Admin-Cluster keine Add-on-Knoten.
Die IP-Adressen der Add-on-Knoten des Administratorclusters (sofern vorhanden) und Knoten der Steuerungsebene des Kubeception-Nutzerclusters sind in der IP-Blockdatei des Administratorclusters aufgeführt. Die Knoten der Steuerungsebene des Administratorclusters werden im Abschnitt network.controlPlaneIPBlock.ips der Konfigurationsdatei des Administratorclusters konfiguriert.
Da die IP-Adressen in der IP-Blockdatei des Administratorclusters keinen bestimmten Knoten zugewiesen sind, müssen Sie dafür sorgen, dass alle in der folgenden Tabelle aufgeführten Firewallregeln für alle für den Administratorcluster verfügbaren IP-Adressen gelten.
Richten Sie Ihre Firewallregeln so ein, dass der folgende Traffic zugelassen wird.
Von |
Quellport |
To |
Port |
Protokoll |
Beschreibung |
|---|---|---|---|---|---|
|
Knoten der Administratorcluster-Steuerungsebene |
1024 – 65535 |
vCenter Server API |
443 |
TCP/https |
Größenanpassung für Cluster |
|
Add-on-Knoten für Administratorcluster |
1024 – 65535 |
vCenter Server API |
443 |
TCP/https |
Verwaltung des Nutzercluster-Lebenszyklus |
|
Add-on-Knoten für Administratorcluster |
32768 – 60999 |
VIP des Kubernetes-API-Servers des Administratorclusters VIPs der Kubernetes-API-Server von Nutzerclustern |
443 |
TCP/https |
Nutzercluster erstellt. Aktualisierung des Nutzerclusters. Nutzerclusterupgrade. Nutzercluster gelöscht. |
|
Knoten der Steuerungsebene des Administratorclusters |
32768 – 60999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die Dienste erforderlich sind, die für die Administrator- oder Nutzercluster aktiviert sind VIPs der Kubernetes API-Server von Nutzerclustern VIP des Kubernetes API-Servers des Administratorclusters VIP des Kubernetes API-Servers des Administratorclusters Kubernetes API-Server des Administratorclusters von Kubernetes API-Server des Administratorclusters Kubernetes API-Server des Administratorclusters von Kubernetes API-Server des Administratorclusters Serviceusage.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die Dienste erforderlich sind, die für die Administrator- oder Nutzercluster aktiviert sind |
443 |
TCP/https |
Preflight-Prüfungen (Validierung) Wenn Sie Nutzercluster erstellen, aktualisieren oder upgraden. Wenn Sie den Administratorcluster erstellen, aktualisieren oder upgraden. |
|
Knoten der Steuerungsebene des Administratorclusters |
32768 – 60999 |
Lokale lokale Docker-Registry des Nutzerclusters |
Hängt von Ihrer Registry ab |
TCP/https |
Preflight-Prüfungen (Validierung) Erforderlich, wenn der GKE on VMware-Nutzercluster für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist. Wenn Sie Nutzercluster erstellen oder aktualisieren. Wenn Sie den Administratorcluster erstellen oder aktualisieren. |
|
Knoten der Steuerungsebene des Administratorclusters |
32768 – 60999 |
Administratorclusterknoten Nutzerclusterknoten VIPs des Load-Balancers des Administratorclusters VIPs des Nutzercluster-Load-Balancers |
icmp |
Preflight-Prüfungen (Validierung) Wenn Sie Nutzercluster erstellen, aktualisieren oder upgraden. Wenn Sie den Administratorcluster erstellen, aktualisieren oder upgraden. |
|
|
Knoten der Steuerungsebene des Administratorclusters |
32768 – 60999 |
Nutzercluster-Worker-Knoten |
22 |
ssh |
Preflight-Prüfungen (Validierung) Wenn Sie Nutzercluster aktualisieren. Wenn Sie den Administratorcluster upgraden. |
|
Knoten der Nutzercluster-Steuerungsebene |
1024 – 65535 |
vCenter Server API |
443 |
TCP/https |
Größenanpassung für Cluster |
|
Knoten der Nutzercluster-Steuerungsebene |
1024 – 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com oder REGION-gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
Zugriff ist für die Flottenregistrierung erforderlich. Siehe Hinweis 2 im Anschluss an die Liste der URLs, die auf die Zulassungsliste gesetzt werden sollen. |
|
Cloud Logging Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird |
1024 – 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
|
Cloud Metadata Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird |
1024 – 65535 |
opsconfigmonitoring.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird |
1024 – 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
|
Knoten der Administratorcluster-Steuerungsebene |
1024 – 65535 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
Knoten der Nutzercluster-Steuerungsebene |
1024 – 65535 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
Knoten der Administratorcluster-Steuerungsebene |
1024 – 65535 |
Lokale Docker-Registry |
Hängt von Ihrer Registry ab |
TCP/https |
Erforderlich, wenn GKE on VMware für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist. |
|
Knoten der Nutzercluster-Steuerungsebene |
1024 – 65535 |
Lokale Docker-Registry |
Hängt von Ihrer Registry ab |
TCP/https |
Erforderlich, wenn GKE on VMware für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist. |
|
Knoten der Administratorcluster-Steuerungsebene |
1024 – 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für den Administratorcluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
|
Knoten der Nutzercluster-Steuerungsebene |
1024 – 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für den Administratorcluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
|
Administratorcluster-Worker-Knoten |
1024 – 65535 |
Administratorcluster-Worker-Knoten |
Alle |
179 – bgp 443 – https 5473 – Calico/Typha 9443 – Envoy-Messwerte 10250 – Kubelet-Knotenport |
Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben. |
|
Administratorcluster-Knoten |
1024 – 65535 |
Administratorcluster-Pod-CIDR |
all |
Beliebig |
Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet. |
|
Administratorcluster-Worker-Knoten |
all |
Nutzerclusterknoten |
22 |
ssh |
Erforderlich für kubeception. API-Server-zu-Kubelet-Kommunikation über einen SSH-Tunnel. Bei der Steuerungsebene V2 sollte dies übersprungen werden. |
|
Administratorcluster-Knoten |
1024 – 65535 |
IP-Adressen der Seesaw-LB-VMs des Administratorclusters |
20255, 20257 |
TCP/http |
LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden |
|
Administratorcluster-Knoten |
1024 – 65535 |
Administratorcluster-Knoten |
7946 |
TCP/UDP |
MetalLB-Systemdiagnose Nur erforderlich, wenn Sie die Bundled LB MetalLB verwenden. |
|
Administratorcluster-Knoten |
Alle |
Virtuelle IP-Adresse der Nutzercluster-Steuerungsebene |
443 |
https |
Erforderlich für Steuerungsebene V2. Zulassen, dass Knoten und Pods im Administratorcluster mit dem Kubernetes API-Server des Nutzerclusters kommunizieren. |
|
Administratorcluster-Knoten |
Alle |
Knoten der Steuerungsebene des Nutzerclusters |
443 |
https |
Erforderlich für Steuerungsebene V2. Zulassen, dass Knoten und Pods im Administratorcluster über die IP-Adresse eines Knotens der Steuerungsebene eines Nutzerclusters mit dem Kubernetes API-Server des Nutzerclusters kommunizieren. |
Firewallregeln für Nutzerclusterknoten
Die IP-Adressen der Nutzercluster werden in der IP-Blockdatei aufgeführt.
Wie bei den Knoten eines Administratorclusters wissen Sie nicht, welche IP-Adresse für welchen Knoten verwendet wird. Folglich gelten alle Regeln in den Nutzerclusterknoten für jeden Nutzerclusterknoten.
Von |
Quellport |
To |
Port |
Protokoll |
Beschreibung |
|---|---|---|---|---|---|
|
Nutzercluster-Worker-Knoten |
all |
gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für diesen Cluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
|
Nutzercluster-Worker-Knoten |
all |
F5 BIG-IP API |
443 |
TCP/https |
|
|
Nutzercluster-Worker-Knoten |
all |
VIP des pushprox-Servers, der im Administratorcluster ausgeführt wird |
8443 |
TCP/https |
Prometheus-Traffic |
|
Nutzercluster-Worker-Knoten |
all |
Nutzercluster-Worker-Knoten |
all |
22 – ssh 179 – bgp 443 – https 5473 – Calico/Typha 9443 – Envoy-Messwerte 10250 – Kubelet-Knotenport |
Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben. |
|
Nutzercluster-Worker-Knoten |
all |
VIP der Nutzersteuerungsebene |
443 |
TCP/https |
|
|
Nutzercluster-Worker-Knoten |
Alle |
VIP der Nutzersteuerungsebene |
8132 |
GRPC |
Erforderlich für kubeception. Konnektivitätsverbindung. Bei der Steuerungsebene V2 sollte dies übersprungen werden. |
|
Administratorcluster-Knoten |
Alle |
vCenter-Server des Nutzerclusters |
443 |
https |
Erlauben Sie dem Administratorcluster, den Lebenszyklus des Nutzerclusters zu verwalten. Erforderlich, wenn die Administrator- und Nutzercluster unterschiedliche vCenter-Server haben. |
|
Nutzerclusterknoten |
1024 – 65535 |
Nutzercluster-Pod-CIDR |
all |
Beliebig |
Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet. |
|
Cloud Logging Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
1024 – 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
|
Connect Agent, das auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
1024 – 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com oder REGION-gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com |
443 |
TCP/https |
Connect-Traffic Siehe Hinweis 2 nach der Liste der URLs, die auf die Zulassungsliste gesetzt werden sollen. |
|
Cloud Metadata Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
1024 – 65535 |
opsconfigmonitoring.googleapis.com kubernetesmetadata.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
1024 – 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
|
Nutzerclusterknoten |
1024 – 65535 |
IP-Adressen der Seesaw-LB-VMs des Nutzerclusters |
20255, 20257 |
TCP/http |
LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden |
|
Nutzerclusterknoten mit enableLoadBalancer=true |
1024 – 65535 |
Nutzerclusterknoten mit enableLoadBalancer=true |
7946 |
TCP/UDP |
MetalLB-Systemdiagnose Nur erforderlich, wenn Sie die Bundled LB MetalLB verwenden. |
|
Nutzerclusternetzwerk |
all |
VIP der Steuerungsebene des Nutzerclusters |
443 |
TCP/https |
Firewallregeln für die verbleibenden Komponenten
Diese Regeln gelten für alle anderen Komponenten, die in den Tabellen für den Administratorcluster und die Nutzerclusterknoten nicht aufgeführt sind.
Von |
Quellport |
To |
Port |
Protokoll |
Beschreibung |
|---|---|---|---|---|---|
|
Administratorcluster-Pod-CIDR |
1024 – 65535 |
Administratorcluster-Pod-CIDR |
all |
Beliebig |
Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR. |
|
Administratorcluster-Pod-CIDR |
1024 – 65535 |
Administratorcluster-Knoten |
all |
Beliebig |
Rücktraffic des externen Traffics |
|
Nutzercluster-Pod-CIDR |
1024 – 65535 |
Nutzercluster-Pod-CIDR |
all |
Beliebig |
Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR. |
|
Nutzercluster-Pod-CIDR |
1024 – 65535 |
Nutzerclusterknoten |
all |
Beliebig |
Rücktraffic des externen Traffics |
|
Clients und Endnutzer von Anwendungen |
all |
VIP des eingehenden Istio-Traffics |
80, 443 |
TCP |
Endnutzer-Traffic zum Dienst für eingehenden Traffic eines Nutzerclusters |
|
Jump-Server zum Bereitstellen der Administrator-Workstation |
Siitzungspezifischer Portbereich |
vCenter Server API ESXi-VMkernel-IP-Adressen (Verwaltung) von Hosts im Zielcluster |
443 |
TCP/https |
Prüfen Sie den sitzungsspezifischen Portbereich von „cat /proc/sys/net/ipv4/ip_local_port_range“. |
|
Administratorworkstation |
32768 – 60999 |
gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für diesen Cluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Docker-Images aus öffentlichen Docker-Registries herunterladen |
|
Administratorworkstation |
32768 – 60999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die Dienste erforderlich sind, die für die Administrator- oder Nutzercluster aktiviert sind VIPs der Kubernetes API-Server von Nutzerclustern VIP des Kubernetes API-Servers des Administratorclusters vCenter BIG API-Server des Administratorclusters |
443 |
TCP/https |
Preflight-Prüfungen (Validierung) Wenn Sie Cluster mit |
|
Administratorworkstation |
32768 – 60999 |
vCenter Server API F5 BIG-IP API |
443 |
TCP/https |
Administratorcluster erstellen. Nutzercluster erstellt. |
|
Administratorworkstation |
32768 – 60999 |
ESXi-VMkernel-IP-Adressen (Verwaltung) von Hosts im Zielcluster |
443 |
TCP/https |
Die Administrator-Workstation lädt die OVA-Datei über die ESXi-Hosts in den Datenspeicher hoch. |
|
Administratorworkstation |
32768 – 60999 |
VIP des Kubernetes-API-Servers des Administratorclusters VIPs der Kubernetes-API-Server von Nutzerclustern |
443 |
TCP/https |
Administratorcluster erstellen. Aktualisierung des Administratorclusters. Nutzercluster erstellt. Aktualisierung des Nutzerclusters. Nutzercluster gelöscht. |
|
Administratorworkstation |
32768 – 60999 |
Knoten und Worker-Knoten der Administratorcluster-Steuerungsebene |
443 |
TCP/https |
Administratorcluster erstellen. Aktualisierungen der Steuerungsebene |
|
Administratorworkstation |
32768 – 60999 |
Alle Administratorcluster-Knoten und alle Nutzercluster-Knoten |
443 |
TCP/https |
Netzwerkvalidierung als Teil des Befehls |
|
Administratorworkstation |
32768 – 60999 |
VIP des eingehenden Istio-Traffics des Administratorclusters VIP des eingehenden Istio-Traffics von Nutzerclustern |
443 |
TCP/https |
Netzwerkvalidierung als Teil des Befehls |
|
Administratorworkstation |
32768 – 60999 |
oauth2.googleapis.com logging.googleapis.com monitoring.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
Zugriff auf Cloud Logging und Monitoring |
|
Administratorworkstation |
32768 – 60999 |
IP-Adressen der Seesaw-LB-VMs in Administrator- und Nutzerclustern Seesaw-LB-VIPs von Administrator- und Nutzerclustern |
20256, 20258 |
TCP/http/gRPC |
Systemdiagnose von lokalen LBs. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden |
|
Administratorworkstation |
32768 – 60999 |
Knoten-IP der Cluster-Steuerungsebene |
22 |
TCP |
Erforderlich, wenn Sie von der Administratorworkstation aus SSH-Zugriff auf die Administratorcluster-Steuerungsebene benötigen. |
| Administratorworkstation | 32768 – 60999 | releases.hashicorp.com | 443 | TCP/https | Optional. Siehe Hinweis 3 nach der Liste der URLs, die auf die Zulassungsliste gesetzt werden sollen. |
|
LB-VM-IP-Adressen |
32768 – 60999 |
Knoten-IP-Adressen des entsprechenden Clusters |
10256: Knoten-Systemdiagnose |
TCP/http |
Knoten-Systemdiagnose. healthCheckNodePort ist für Dienste bestimmt, bei denen externalTrafficPolicy auf "Local" gesetzt ist. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden |
|
F5-Self-IP |
1024 – 65535 |
Alle Administrator- und Nutzercluster-Knoten |
30000 bis 32767 |
Beliebig |
Für den Traffic auf Datenebene, für den F5 BIG-IP über eine VIP eines virtuellen Servers ein Load-Balancing zu den Knotenports auf den Kubernetes-Clusterknoten durchführt In der Regel befindet sich die F5-Selbst-IP im selben Netzwerk/Subnetz wie die Kubernetes-Clusterknoten. |