プロキシのアドレスを許可リストに登録する
組織で送信トラフィックがプロキシ サーバーを通過する必要がある場合は、プロキシ サーバーで次のアドレスを許可リストに登録します。
- gcr.io
- googleapis.com
- www.googleapis.com
- accounts.google.com
- cloudresourcemanager.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com
- gkehub.googleapis.com
- iam.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- checkpoint-api.hashicorp.com
- releases.hashicorp.com
gkeadm を使用して GKE オンプレミスをインストールする場合、上記の Hashicorp URL を許可リストに登録する必要はありません。
また、vCenter Server に外部 IP アドレスがある場合は、プロキシ サーバーでそのアドレスも許可リストに登録します。
ファイアウォール ルール
次のトラフィックを許可するようにファイアウォール ルールを設定します。
開始 |
変換後 |
ポート |
プロトコル |
説明 |
|---|---|---|---|---|
|
管理クラスタのコントロール プレーン ノード |
vCenter Server API |
443 |
TCP / https |
クラスタのサイズ変更 |
|
ユーザー クラスタのコントロール プレーン ノード |
vCenter Server API |
443 |
TCP / https |
クラスタのサイズ変更 |
|
管理クラスタのアドオンノードで実行される Cloud Logging Collector |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP / https |
|
|
管理クラスタのアドオンノードで実行される Cloud Monitoring Collector |
oauth2.googleapis.com Monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP / https |
|
|
管理クラスタのコントロール プレーン ノード |
F5 BIG-IP API |
443 |
TCP / https |
|
|
ユーザー クラスタのコントロール プレーン ノード |
F5 BIG-IP API |
443 |
TCP / https |
|
|
管理クラスタのコントロール プレーン ノード |
オンプレミスのローカル Docker レジストリ |
レジストリにより異なる |
TCP / https |
GKE On-Prem が gcr.io の代わりにローカルの非公開 Docker レジストリを使用するように構成されている場合は必要。 |
|
ユーザー クラスタのコントロール プレーン ノード |
オンプレミスのローカル Docker レジストリ |
レジストリにより異なる |
TCP / https |
GKE On-Prem が gcr.io の代わりにローカルの非公開 Docker レジストリを使用するように構成されている場合は必要。 |
|
管理クラスタのコントロール プレーン ノード |
gcr.io *.googleusercontent.com *.googleapis.com *.k8s.io |
443 |
TCP / https |
公開 Docker レジストリからイメージをダウンロードする。 非公開 Docker レジストリを使用する場合は不要。 |
|
ユーザー クラスタのコントロール プレーン ノード |
gcr.io *.googleusercontent.com *.googleapis.com *.k8s.io |
443 |
TCP / https |
公開 Docker レジストリからイメージをダウンロードする。 非公開 Docker レジストリを使用する場合は不要。 |
|
管理クラスタのワーカーノード |
管理クラスタのワーカーノード |
すべて |
179 - bgp 443 - https 5473 - Calico/Typha 9443 - Envoy 指標 10250 - kubelet ノードポート |
すべてのワーカーノードは、ファイアウォールなしでレイヤ 2 で隣接している必要がある。 |
|
管理クラスタのワーカーノード |
ユーザー クラスタノード |
22 |
ssh |
SSH トンネルを介した API サーバーから kubelet への通信。 |
|
ユーザー クラスタのワーカーノード |
管理ワークステーションの Docker レジストリ |
|||
|
ユーザー クラスタのワーカーノード |
gcr.io *.googleusercontent.com *.googleapis.com *.k8s.io |
443 |
TCP / https |
公開 Docker レジストリからイメージをダウンロードする。 非公開 Docker レジストリを使用する場合は不要。 |
|
ユーザー クラスタのワーカーノード |
F5 BIG-IP API |
443 |
TCP / https |
|
|
ユーザー クラスタのワーカーノード |
管理クラスタで実行される pushprox サーバーの VIP。 |
8443 |
TCP / https |
Prometheus のトラフィック。 |
|
ユーザー クラスタのワーカーノード |
ユーザー クラスタのワーカーノード |
すべて |
22 - ssh 179 - bgp 443 - https 5473 - calico-typha 9443 - Envoy 指標 10250 - kubelet ノードポート |
すべてのワーカーノードは、ファイアウォールなしでレイヤ 2 で隣接している必要がある。 |
|
管理クラスタの Pod CIDR |
管理クラスタの Pod CIDR |
すべて |
任意 |
Pod 間のトラフィックは、Pod CIDR を使用して L2 転送を直接行う。オーバーレイなし。 |
|
管理クラスタノード |
管理クラスタの Pod CIDR |
すべて |
任意 |
外部トラフィックは最初のノードで SNAT され、Pod IP に送信される。 |
|
管理クラスタの Pod CIDR |
管理クラスタノード |
すべて |
任意 |
外部トラフィックの戻りトラフィック。 |
|
ユーザー クラスタの Pod CIDR |
ユーザー クラスタの Pod CIDR |
すべて |
任意 |
Pod 間のトラフィックは、Pod CIDR を使用して L2 転送を直接行う。オーバーレイなし。 |
|
ユーザー クラスタノード |
ユーザー クラスタの Pod CIDR |
すべて |
任意 |
外部トラフィックは最初のノードで SNAT され、Pod IP に送信される。 |
|
ユーザー クラスタの Pod CIDR |
ユーザー クラスタノード |
すべて |
任意 |
外部トラフィックの戻りトラフィック。 |
|
ランダムなユーザー クラスタのワーカーノードで実行される Connect Agent。 |
gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com oauth2.googleapis.com accounts.google.com |
443 |
TCP / https |
トラフィックを接続する。 |
|
ランダムなユーザー クラスタのワーカーノードで実行される Cloud Logging Collector。 |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP / https |
|
|
ランダムなユーザー クラスタのワーカーノードで実行される Cloud Monitoring Collector。 |
oauth2.googleapis.com Monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 |
TCP / https |
|
|
クライアント(アプリケーションのエンドユーザー)。 |
Istio Ingress の VIP |
80、443 |
TCP |
ユーザー クラスタの Ingress サービスへのエンドユーザー トラフィック。 |
|
管理ワークステーションをデプロイするための踏み台サーバー |
checkpoint-api.hashicorp.com releases.hashicorp.com vCenter Server API ターゲット クラスタ内のホストの ESXi VMkernel(mgt)IP |
443 |
TCP / https |
管理ワークステーションの Terraform デプロイ。 |
|
管理ワークステーション |
gcr.io *.googleusercontent.com *.googleapis.com *.k8s.io" |
443 |
TCP / https |
公開 Docker レジストリからイメージをダウンロードする。 |
|
管理ワークステーション |
vCenter Server API F5 BIG-IP API |
443 |
TCP / https |
クラスタのブートストラップ |
|
管理ワークステーション |
ターゲット クラスタ内のホストの ESXi VMkernel(mgt)IP |
443 |
TCP / https |
管理ワークステーションは、ESXi ホストを介して、OVA をデータストアにアップロードする。 |
|
管理ワークステーション |
管理クラスタのコントロール プレーン VM のノード IP |
443 |
TCP / https |
クラスタのブートストラップ |
|
管理ワークステーション |
管理クラスタの Kubernetes API サーバーの VIP ユーザー クラスタの Kubernetes API サーバーの VIP |
443 |
TCP / https |
クラスタのブートストラップ ユーザー クラスタの削除 |
|
管理ワークステーション |
管理クラスタのコントロール プレーン ノードとワーカーノード |
443 |
TCP / https |
クラスタのブートストラップ コントロール プレーンのアップグレード |
|
管理ワークステーション |
すべての管理クラスタノードとすべてのユーザー クラスタノード |
443 |
TCP / https |
|
|
管理ワークステーション |
管理クラスタの Istio Ingress の VIP ユーザー クラスタの Istio Ingress の VIP |
443 |
TCP / https |
|
|
管理ワークステーション |
管理クラスタとユーザー クラスタの両方の Seesaw LB VM の IP 管理クラスタとユーザー クラスタの両方の Seesaw LB VIP |
20256、20258 |
TCP / http / gRPC |
LB のヘルスチェック。バンドルされた LB Seesaw を使用する場合にのみ必要。 |
|
管理ワークステーション |
管理クラスタ コントロール プレーンのノード IP |
22 |
TCP |
管理ワークステーションから管理クラスタ コントロール プレーンへの SSH アクセスが必要な場合は必須。 |
|
管理クラスタノード |
管理クラスタの Seesaw LB VM の IP |
20255、20257 |
TCP/http |
LB 構成の push と指標のモニタリング。バンドルされた LB Seesaw を使用する場合にのみ必要。 |
|
ユーザー クラスタノード |
ユーザー クラスタの Seesaw LB VM の IP |
20255、20257 |
TCP/http |
LB 構成の push と指標のモニタリング。バンドルされた LB Seesaw を使用する場合にのみ必要。 |
|
LB VM の IP |
対応するクラスタのノード IP |
10256: ノードのヘルスチェック 30000~32767: healthCheckNodePort |
TCP/http |
ノードのヘルスチェック。healthCheckNodePort は、externalTrafficPolicy が Local に設定されているサービス用。バンドルされた LB Seesaw を使用する場合にのみ必要。 |
|
F5 の Self-IP |
すべての管理クラスタノードとすべてのユーザー クラスタノード |
30000~32767 |
任意 |
F5 BIG-IP が仮想サーバー VIP を介して Kubernetes クラスタノードのノードポートに負荷分散するデータプレーン トラフィックの場合。 通常、F5 Self-IP は Kubernetes クラスタノードと同じネットワーク / サブネット上にあります。 |