Version 1.5 Diese Version wird nicht mehr unterstützt, wie in der Supportrichtlinie für Anthos-Versionen beschrieben. Führen Sie ein Upgrade auf eine unterstützte Version durch, um die neuesten Patches und Updates für Sicherheitslücken, Kontakte und Probleme bei Anthos-Clustern in VMware (GKE On-Prem) zu erhalten. Die neueste Version finden Sie hier.

Verfügbare Versionen

Proxy- und Firewallregeln

< Zurück

Adressen für Ihren Proxy auf die Zulassungsliste setzen

Wenn in Ihrer Organisation ausgehender Traffic einen Proxyserver passieren muss, setzen Sie die folgenden Adressen auf die Zulassungsliste für den Proxyserver: Beachten Sie, dass www.googleapis.com anstelle von googleapis.com benötigt wird:

dl.google.com (vom Google Cloud SDK-Installationsprogramm erforderlich)
gcr.io
www.googleapis.com
accounts.google.com
cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
iam.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
oauth2.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
storage.googleapis.com
checkpoint-api.hashicorp.com
releases.hashicorp.com

Wenn Sie gkeadm zum Installieren von GKE On-Prem verwenden, müssen Sie die hashicorp-URLs oben nicht auf die Zulassungsliste aufnehmen.

Wenn außerdem Ihr vCenter-Server eine externe IP-Adresse hat, setzen Sie diese Adresse auf die Zulassungsliste für den Proxyserver.

Firewallregeln

Richten Sie Ihre Firewallregeln so ein, dass der folgende Traffic zugelassen wird.

Firewallregeln für im Admin-Cluster verfügbare IP-Adressen

Die im Administratorcluster verfügbaren IP-Adressen sind in der IP-Blockdatei aufgeführt. Diese IP-Adressen werden für den Knoten der Administrator-Steuerungsebene, die Add-on-Knoten des Administratorclusters und den Knoten der Steuerungsebene des Nutzerclusters verwendet. Da die IP-Adressen für den Administratorcluster bestimmten Knoten nicht zugewiesen sind, müssen Sie dafür sorgen, dass alle in der folgenden Tabelle aufgeführten Firewallregeln für alle IP-Adressen gelten, die für den Administratorcluster verfügbar sind.

Von	An	Port	Protokoll	Beschreibung
Knoten der Administratorcluster-Steuerungsebene	vCenter Server API	443	TCP/https	Größenanpassung für Cluster
Add-on-Knoten für Administratorcluster	vCenter Server API	443	TCP/https	Verwaltung des Nutzercluster-Lebenszyklus.
Knoten der Nutzercluster-Steuerungsebene	vCenter Server API	443	TCP/https	Größenanpassung für Cluster
Cloud Logging Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird	oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com www.googleapis.com	443	TCP/https
Cloud Monitoring Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird	oauth2.googleapis.com monitoring.googleapis.com Stackdriver.googleapis.com servicecontrol.googleapis.com	443	TCP/https
Knoten der Administratorcluster-Steuerungsebene	F5 BIG-IP API	443	TCP/https
Knoten der Nutzercluster-Steuerungsebene	F5 BIG-IP API	443	TCP/https
Knoten der Administratorcluster-Steuerungsebene	Lokale Docker-Registry	Hängt von Ihrer Registry ab	TCP/https	Erforderlich, wenn GKE On-Prem für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist
Knoten der Nutzercluster-Steuerungsebene	Lokale Docker-Registry	Hängt von Ihrer Registry ab	TCP/https	Erforderlich, wenn GKE On-Prem für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist
Knoten der Administratorcluster-Steuerungsebene	* gcr.io .googleusercontent.com .googleapis.com	443	TCP/https	Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird `*.googleusercontent.com` ist der kanonische DNS-Name für `gcr.io`.
Knoten der Nutzercluster-Steuerungsebene	* gcr.io .googleusercontent.com .googleapis.com	443	TCP/https	Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird `*.googleusercontent.com` ist der kanonische DNS-Name für `gcr.io`.
Administratorcluster-Worker-Knoten	Administratorcluster-Worker-Knoten	Alle	179 – bgp 443 – https 5473 – Calico/Typha 9443 – Envoy-Messwerte 10250 – Kubelet-Knotenport	Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben.
Administratorcluster-Knoten	Administratorcluster-Pod-CIDR	all	Beliebig	Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet.
Administratorcluster-Worker-Knoten	Nutzercluster-Knoten	22	ssh	API-Server für Kubelet-Kommunikation über einen SSH-Tunnel.
Administratorcluster-Knoten	IP-Adressen der Seesaw-LB-VMs des Administratorclusters	20255, 20257	TCP/http	LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden

Firewallregeln für Nutzerclusterknoten

Die IP-Adressen der Nutzercluster werden in der IP-Blockdatei aufgeführt.

Wie bei den Knoten eines Administratorclusters wissen Sie nicht, welche IP-Adresse für welchen Knoten verwendet wird. Folglich gelten alle Regeln in den Nutzerclusterknoten für jeden Nutzerclusterknoten.

Von	An	Port	Protokoll	Beschreibung
Nutzercluster-Worker-Knoten	* gcr.io .googleusercontent.com .googleapis.com	443	TCP/https	Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird `*.googleusercontent.com` ist der kanonische DNS-Name für `gcr.io`.
Nutzercluster-Worker-Knoten	F5 BIG-IP API	443	TCP/https
Nutzercluster-Worker-Knoten	VIP des pushprox-Servers, der im Administratorcluster ausgeführt wird	8443	TCP/https	Prometheus-Traffic
Nutzercluster-Worker-Knoten	Nutzercluster-Worker-Knoten	all	22 – ssh 179 – bgp 443 – https 5473 – Calico/Typha 9443 – Envoy-Messwerte 10250 – Kubelet-Knotenport	Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben.
Nutzerclusterknoten	Nutzercluster-Pod-CIDR	all	Beliebig	Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet.
Cloud Logging Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird	oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com www.googleapis.com	443	TCP/https
Connect Agent, das auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird	gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com oauth2.googleapis.com accounts.google.com	443	TCP/https	Connect-Traffic
Cloud Monitoring Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird	oauth2.googleapis.com monitoring.googleapis.com Stackdriver.googleapis.com servicecontrol.googleapis.com	443	TCP/https
Nutzerclusterknoten	IP-Adressen der Seesaw-LB-VMs des Nutzerclusters	20255, 20257	TCP/http	LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden

Firewallregeln für die verbleibenden Komponenten

Diese Regeln gelten für alle anderen Komponenten, die in den Tabellen für den Administratorcluster und die Nutzerclusterknoten nicht aufgeführt sind.

Von	An	Port	Protokoll	Beschreibung
Administratorcluster-Pod-CIDR	Administratorcluster-Pod-CIDR	all	Beliebig	Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR.
Administratorcluster-Pod-CIDR	Administratorcluster-Knoten	all	Beliebig	Rücktraffic des externen Traffics
Nutzercluster-Pod-CIDR	Nutzercluster-Pod-CIDR	all	Beliebig	Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR.
Nutzercluster-Pod-CIDR	Nutzercluster-Knoten	all	Beliebig	Rücktraffic des externen Traffics
Clients und Endnutzer von Anwendungen	VIP des eingehenden Istio-Traffics	80, 443	TCP	Endnutzer-Traffic zum Dienst für eingehenden Traffic eines Nutzerclusters
Jump-Server zum Bereitstellen der Administrator-Workstation	check-api.hashicorp.com release.hashicorp.com vCenter Server API ESXi VMkernel (mgt) IP-Adressen von Hosts im Zielcluster	443	TCP/https	Terraform-Bereitstellung der Administrator-Workstation
Administratorworkstation	* gcr.io .googleusercontent.com .googleapis.com	443	TCP/https	Docker-Images aus öffentlichen Docker-Registries herunterladen `*.googleusercontent.com` ist der kanonische DNS-Name für `gcr.io`.
Administratorworkstation	vCenter Server API F5 BIG-IP API	443	TCP/https	Cluster-Bootstrapping
Administrator-Workstation	ESXi-VMkernel-IP-Adressen (Verwaltung) von Hosts im Zielcluster	443	TCP/https	Die Administrator-Workstation lädt die OVA-Datei über die ESXi-Hosts in den Datenspeicher hoch.
Administratorworkstation	Knoten-IP der VM einer Administratorcluster-Steuerungsebene	443	TCP/https	Cluster-Bootstrapping
Administrator-Workstation	VIP des Kubernetes-API-Servers des Administratorclusters VIPs der Kubernetes-API-Server von Nutzerclustern	443	TCP/https	Cluster-Bootstrapping Nutzercluster löschen
Administratorworkstation	Knoten und Worker-Knoten der Administratorcluster-Steuerungsebene	443	TCP/https	Cluster-Bootstrapping Aktualisierungen der Steuerungsebene
Administrator-Workstation	Alle Administratorcluster-Knoten und alle Nutzercluster-Knoten	443	TCP/https	Netzwerkvalidierung als Teil des Befehls `gkectl check-config`
Administrator-Workstation	VIP des eingehenden Istio-Traffics des Administratorclusters VIP des eingehenden Istio-Traffics von Nutzerclustern	443	TCP/https	Netzwerkvalidierung als Teil des Befehls `gkectl check-config`
Administrator-Workstation	IP-Adressen der Seesaw-LB-VMs in Administrator- und Nutzerclustern Seesaw-LB-VIPs von Administrator- und Nutzerclustern	20256, 20258	TCP/http/gRPC	Systemdiagnose von lokalen LBs. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden
Administratorworkstation	Knoten-IP der Administratorcluster-Steuerungsebene	22	TCP	Erforderlich, wenn Sie von der Administratorworkstation aus SSH-Zugriff auf die Administratorcluster-Steuerungsebene benötigen.
LB-VM-IP-Adressen	Knoten-IP-Adressen des entsprechenden Clusters	10256: Knoten-Systemdiagnose 30000 bis 32767: healthCheckNodePort	TCP/http	Knoten-Systemdiagnose. healthCheckNodePort ist für Dienste bestimmt, bei denen externalTrafficPolicy auf "Local" gesetzt ist. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden
F5-Self-IP	Alle Administrator- und Nutzercluster-Knoten	30000 bis 32767	Beliebig	Für den Traffic auf Datenebene, für den F5 BIG-IP über eine VIP eines virtuellen Servers ein Load-Balancing zu den Knotenports auf den Kubernetes-Clusterknoten durchführt In der Regel befindet sich die F5-Self-IP im selben Netzwerk/Subnetz wie die Kubernetes-Clusterknoten.

< Zurück Weiter >