バージョン 1.3。このバージョンは完全にサポートされていますが、最新バージョンではありません。

プロキシとファイアウォール ルール

プロキシのアドレスを許可リストに登録する

組織で送信トラフィックがプロキシ サーバーを通過する必要がある場合は、プロキシ サーバーで次のアドレスを許可リストに登録します。

  • gcr.io
  • googleapis.com
  • www.googleapis.com
  • accounts.google.com
  • cloudresourcemanager.googleapis.com
  • container.googleapis.com
  • gkeconnect.googleapis.com
  • gkehub.googleapis.com
  • iam.googleapis.com
  • logging.googleapis.com
  • monitoring.googleapis.com
  • oauth2.googleapis.com
  • serviceusage.googleapis.com
  • storage.googleapis.com
  • checkpoint-api.hashicorp.com
  • releases.hashicorp.com

gkeadm を使用して GKE オンプレミスをインストールする場合、上記の Hashicorp URL を許可リストに登録する必要はありません。

また、vCenter Server に外部 IP アドレスがある場合は、プロキシ サーバーでそのアドレスも許可リストに登録します。

ファイアウォール ルール

次のトラフィックを許可するようにファイアウォール ルールを設定します。

開始

変換後

ポート

プロトコル

説明

管理クラスタのコントロール プレーン ノード

vCenter Server API

443

TCP / https

クラスタのサイズ変更

ユーザー クラスタのコントロール プレーン ノード

vCenter Server API

443

TCP / https

クラスタのサイズ変更

管理クラスタのアドオンノードで実行される Cloud Logging Collector

oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP / https

管理クラスタのアドオンノードで実行される Cloud Monitoring Collector

oauth2.googleapis.com
Monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP / https

管理クラスタのコントロール プレーン ノード

F5 BIG-IP API

443

TCP / https

ユーザー クラスタのコントロール プレーン ノード

F5 BIG-IP API

443

TCP / https

管理クラスタのコントロール プレーン ノード

オンプレミスのローカル Docker レジストリ

レジストリにより異なる

TCP / https

GKE On-Prem が gcr.io の代わりにローカルの非公開 Docker レジストリを使用するように構成されている場合は必要。

ユーザー クラスタのコントロール プレーン ノード

オンプレミスのローカル Docker レジストリ

レジストリにより異なる

TCP / https

GKE On-Prem が gcr.io の代わりにローカルの非公開 Docker レジストリを使用するように構成されている場合は必要。

管理クラスタのコントロール プレーン ノード

gcr.io
*.googleusercontent.com
*.googleapis.com
*.k8s.io

443

TCP / https

公開 Docker レジストリからイメージをダウンロードする。

非公開 Docker レジストリを使用する場合は不要。

ユーザー クラスタのコントロール プレーン ノード

gcr.io
*.googleusercontent.com
*.googleapis.com
*.k8s.io
443

TCP / https

公開 Docker レジストリからイメージをダウンロードする。

非公開 Docker レジストリを使用する場合は不要。

管理クラスタのワーカーノード

管理クラスタのワーカーノード

すべて

179 - bgp

443 - https

5473 - Calico/Typha

9443 - Envoy 指標

10250 - kubelet ノードポート

すべてのワーカーノードは、ファイアウォールなしでレイヤ 2 で隣接している必要がある。

管理クラスタのワーカーノード

ユーザー クラスタノード

22

ssh

SSH トンネルを介した API サーバーから kubelet への通信。

ユーザー クラスタのワーカーノード

管理ワークステーションの Docker レジストリ

ユーザー クラスタのワーカーノード

gcr.io
*.googleusercontent.com
*.googleapis.com
*.k8s.io

443

TCP / https

公開 Docker レジストリからイメージをダウンロードする。

非公開 Docker レジストリを使用する場合は不要。

ユーザー クラスタのワーカーノード

F5 BIG-IP API

443

TCP / https

ユーザー クラスタのワーカーノード

管理クラスタで実行される pushprox サーバーの VIP。

8443

TCP / https

Prometheus のトラフィック。

ユーザー クラスタのワーカーノード

ユーザー クラスタのワーカーノード

すべて

22 - ssh

179 - bgp

443 - https

5473 - calico-typha

9443 - Envoy 指標

10250 - kubelet ノードポート

すべてのワーカーノードは、ファイアウォールなしでレイヤ 2 で隣接している必要がある。

管理クラスタの Pod CIDR

管理クラスタの Pod CIDR

すべて

任意

Pod 間のトラフィックは、Pod CIDR を使用して L2 転送を直接行う。オーバーレイなし。

管理クラスタノード

管理クラスタの Pod CIDR

すべて

任意

外部トラフィックは最初のノードで SNAT され、Pod IP に送信される。

管理クラスタの Pod CIDR

管理クラスタノード

すべて

任意

外部トラフィックの戻りトラフィック。

ユーザー クラスタの Pod CIDR

ユーザー クラスタの Pod CIDR

すべて

任意

Pod 間のトラフィックは、Pod CIDR を使用して L2 転送を直接行う。オーバーレイなし。

ユーザー クラスタノード

ユーザー クラスタの Pod CIDR

すべて

任意

外部トラフィックは最初のノードで SNAT され、Pod IP に送信される。

ユーザー クラスタの Pod CIDR

ユーザー クラスタノード

すべて

任意

外部トラフィックの戻りトラフィック。

ランダムなユーザー クラスタのワーカーノードで実行される Connect Agent。

gkeconnect.googleapis.com
gkehub.googleapis.com
www.googleapis.com
oauth2.googleapis.com
accounts.google.com

443

TCP / https

トラフィックを接続する。

ランダムなユーザー クラスタのワーカーノードで実行される Cloud Logging Collector。

oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP / https

ランダムなユーザー クラスタのワーカーノードで実行される Cloud Monitoring Collector。

oauth2.googleapis.com
Monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP / https

クライアント(アプリケーションのエンドユーザー)。

Istio Ingress の VIP

80、443

TCP

ユーザー クラスタの Ingress サービスへのエンドユーザー トラフィック。

管理ワークステーションをデプロイするための踏み台サーバー

checkpoint-api.hashicorp.com
releases.hashicorp.com
vCenter Server API
ターゲット クラスタ内のホストの ESXi VMkernel(mgt)IP

443

TCP / https

管理ワークステーションの Terraform デプロイ。

管理ワークステーション

gcr.io
*.googleusercontent.com
*.googleapis.com
*.k8s.io"

443

TCP / https

公開 Docker レジストリからイメージをダウンロードする。

管理ワークステーション

vCenter Server API

F5 BIG-IP API

443

TCP / https

クラスタのブートストラップ

管理ワークステーション

ターゲット クラスタ内のホストの ESXi VMkernel(mgt)IP

443

TCP / https

管理ワークステーションは、ESXi ホストを介して、OVA をデータストアにアップロードする。

管理ワークステーション

管理クラスタのコントロール プレーン VM のノード IP

443

TCP / https

クラスタのブートストラップ

管理ワークステーション

管理クラスタの Kubernetes API サーバーの VIP

ユーザー クラスタの Kubernetes API サーバーの VIP

443

TCP / https

クラスタのブートストラップ

ユーザー クラスタの削除

管理ワークステーション

管理クラスタのコントロール プレーン ノードとワーカーノード

443

TCP / https

クラスタのブートストラップ

コントロール プレーンのアップグレード

管理ワークステーション

すべての管理クラスタノードとすべてのユーザー クラスタノード

443

TCP / https

gkectl check-config コマンドの一部としてのネットワーク検証。

管理ワークステーション

管理クラスタの Istio Ingress の VIP

ユーザー クラスタの Istio Ingress の VIP

443

TCP / https

gkectl check-config コマンドの一部としてのネットワーク検証。

管理ワークステーション

管理クラスタとユーザー クラスタの両方の Seesaw LB VM の IP

管理クラスタとユーザー クラスタの両方の Seesaw LB VIP

20256、20258

TCP / http / gRPC

LB のヘルスチェック。バンドルされた LB Seesaw を使用する場合にのみ必要。

管理ワークステーション

管理クラスタ コントロール プレーンのノード IP

22

TCP

管理ワークステーションから管理クラスタ コントロール プレーンへの SSH アクセスが必要な場合は必須。

管理クラスタノード

管理クラスタの Seesaw LB VM の IP

20255、20257

TCP/http

LB 構成の push と指標のモニタリング。バンドルされた LB Seesaw を使用する場合にのみ必要。

ユーザー クラスタノード

ユーザー クラスタの Seesaw LB VM の IP

20255、20257

TCP/http

LB 構成の push と指標のモニタリング。バンドルされた LB Seesaw を使用する場合にのみ必要。

LB VM の IP

対応するクラスタのノード IP

10256: ノードのヘルスチェック

30000~32767: healthCheckNodePort

TCP/http

ノードのヘルスチェック。healthCheckNodePort は、externalTrafficPolicy が Local に設定されているサービス用。バンドルされた LB Seesaw を使用する場合にのみ必要。

F5 の Self-IP

すべての管理クラスタノードとすべてのユーザー クラスタノード

30000~32767

任意

F5 BIG-IP が仮想サーバー VIP を介して Kubernetes クラスタノードのノードポートに負荷分散するデータプレーン トラフィックの場合。

通常、F5 Self-IP は Kubernetes クラスタノードと同じネットワーク / サブネット上にあります。