Version 1.6. Cette version n'est plus compatible, comme indiqué dans la politique de compatibilité avec les versions d'Anthos. Pour obtenir les derniers correctifs et mises à jour pour les failles de sécurité, les expositions et les problèmes affectant Anthos Clusters on VMware (GKE On-Prem), passez à une version compatible. Vous trouverez la version la plus récente ici.

Versions disponibles

Règles de proxy et de pare-feu

Cette page explique comment configurer des règles de proxy et de pare-feu pour Anthos clusters on VMware (GKE On-Prem).

Ajouter des adresses à une liste d'autorisation pour votre proxy

Si votre organisation exige que le trafic sortant passe par un serveur proxy, ajoutez les adresses suivantes à la liste d'autorisation sur votre serveur proxy. Notez que www.googleapis.com est nécessaire, au lieu de googleapis.com :

dl.google.com (requis par le programme d'installation du SDK Google Cloud)
gcr.io
www.googleapis.com
accounts.google.com
cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
oauth2.googleapis.com
securetoken.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
storage.googleapis.com
sts.googleapis.com
checkpoint-api.hashicorp.com
releases.hashicorp.com (Facultatif, obligatoire uniquement si vous utilisez Terraform pour créer un poste de travail administrateur.)

Si vous utilisez gkeadm pour installer Anthos clusters on VMware, vous n'avez pas besoin d'autoriser les URL Hashicorp ci-dessous.

En outre, si votre serveur vCenter possède une adresse IP externe, ajoutez-la à la liste d'autorisation sur votre serveur proxy.

Règles de pare-feu

Configurez vos règles de pare-feu pour autoriser le trafic suivant :

Règles de pare-feu pour les adresses IP disponibles dans le cluster d'administrateur

Les adresses IP disponibles dans le cluster d'administrateur sont répertoriées dans le fichier de bloc d'adresses IP. Ces adresses IP sont utilisées pour le nœud de plan de contrôle du cluster d'administrateur, les nœuds complémentaires du cluster d'administrateur et le nœud du plan de contrôle du cluster d'utilisateur. Étant donné que les adresses IP du cluster d'administrateur ne sont pas attribuées à des nœuds spécifiques, vous devez vous assurer que toutes les règles de pare-feu répertoriées dans le tableau suivant s'appliquent à toutes les adresses IP disponibles pour le cluster d'administrateur.

De	Port source	To	Port	Protocole	Description
Nœud du plan de contrôle du cluster d'administrateur	1024 - 65535	API du serveur vCenter	443	TCP/https	Redimensionnement du cluster
Nœuds complémentaires du cluster d'administrateur	1024 - 65535	API du serveur vCenter	443	TCP/https	Gestion du cycle de vie des clusters d'utilisateur
Nœud du plan de contrôle du cluster d'utilisateur	1024 - 65535	API du serveur vCenter	443	TCP/https	Redimensionnement du cluster
Cloud Logging Collector, qui s'exécute sur un nœud de module complémentaire de cluster d'administrateur	1024 - 65535	oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com	443	TCP/https
Cloud Monitoring Collector, qui s'exécute sur un nœud de module complémentaire de cluster d'administrateur	1024 - 65535	oauth2.googleapis.com monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com	443	TCP/https
Nœud du plan de contrôle du cluster d'administrateur	1024 - 65535	API F5 BIG-IP	443	TCP/https
Nœud du plan de contrôle du cluster d'utilisateur	1024 - 65535	API F5 BIG-IP	443	TCP/https
Nœud du plan de contrôle du cluster d'administrateur	1024 - 65535	Registre Docker local sur site	Dépend de votre registre	TCP/https	Obligatoire si Anthos clusters on VMware est configuré pour utiliser un registre Docker privé local au lieu de gcr.io.
Nœud du plan de contrôle du cluster d'utilisateur	1024 - 65535	Registre Docker local sur site	Dépend de votre registre	TCP/https	Obligatoire si Anthos clusters on VMware est configuré pour utiliser un registre Docker privé local au lieu de gcr.io.
Nœud du plan de contrôle du cluster d'administrateur	1024 - 65535	gcr.io oauth2.googleapis.com storage.googleapis.com N'importe quelle URL *.googleapis.com requise pour les services activés pour le cluster d'administrateur	443	TCP/https	Téléchargez des images à partir de registres Docker publics. Non requis si vous utilisez un registre Docker privé.
Nœud du plan de contrôle du cluster d'utilisateur	1024 - 65535	gcr.io oauth2.googleapis.com storage.googleapis.com N'importe quelle URL *.googleapis.com requise pour les services activés pour le cluster d'administrateur	443	TCP/https	Téléchargez des images à partir de registres Docker publics. Non requis si vous utilisez un registre Docker privé.
Nœuds de calcul de cluster d'administrateur	1024 - 65535	Nœuds de calcul de cluster d'administrateur	Tous	179 - bgp 443 - https 5473 - Calico/Typha 9443 - métriques Envoy 10250 - port du nœud du kubelet	Tous les nœuds de calcul doivent être adjacents à la couche 2 et ne pas avoir de pare-feu.
Nœuds du cluster d'administrateur	1024 - 65535	CIDR du pod du cluster d'administrateur	tous	tous	Le trafic externe est converti dans SNAT sur le premier nœud et envoyé à l'adresse IP du pod.
Nœuds de calcul de cluster d'administrateur	tous	Nœuds de cluster d'utilisateur	22	ssh	Communication entre le serveur d'API et le kubelet via un tunnel SSH.
Nœuds du cluster d'administrateur	1024 - 65535	Adresses IP des VM d'équilibrage de charge Seesaw du cluster d'administrateur	20255, 20257	TCP/http	Surveillance des métriques et de la configuration push des équilibreurs de charge. Uniquement nécessaire si vous utilisez Bundled LB Seesaw.

Règles de pare-feu pour les nœuds de cluster d'utilisateur

Dans les nœuds de cluster d'utilisateur, les adresses IP sont répertoriées dans le fichier de bloc d'adresses IP.

Comme pour les nœuds de cluster d'administrateur, vous ne savez pas quelle adresse IP sera utilisée pour un nœud donné. Ainsi, toutes les règles régissant les nœuds de cluster d'utilisateur s'appliquent à chaque nœud de cluster d'utilisateur.

De	Port source	To	Port	Protocole	Description
Nœuds de calcul de cluster d'utilisateur	tous	gcr.io oauth2.googleapis.com storage.googleapis.com N'importe quelle URL *.googleapis.com requise pour les services activés pour ce cluster	443	TCP/https	Téléchargez des images à partir de registres Docker publics. Non requis si vous utilisez un registre Docker privé.
Nœuds de calcul de cluster d'utilisateur	tous	API F5 BIG-IP	443	TCP/https
Nœuds de calcul de cluster d'utilisateur	tous	Adresse IP virtuelle du serveur pushprox, qui s'exécute dans le cluster d'administrateur.	8443	TCP/https	Trafic Prometheus.
Nœuds de calcul de cluster d'utilisateur	tous	Nœuds de calcul de cluster d'utilisateur	tous	22 - ssh 179 - bgp 443 - https 5473 - calico-typha 9443 - métriques envoy 10250 - port de nœud kubelet"	Tous les nœuds de calcul doivent être adjacents à la couche 2 et ne pas avoir de pare-feu.
Nœuds de cluster d'utilisateur	1024 - 65535	CIDR du pod de cluster d'utilisateur	tous	tous	Le trafic externe est converti dans SNAT sur le premier nœud et envoyé à l'adresse IP du pod.
Cloud Logging Collector, qui s'exécute sur un nœud de calcul de cluster d'utilisateur aléatoire	1024 - 65535	oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com www.googleapis.com	443	TCP/https
Agent Connect, qui s'exécute sur un nœud de calcul de cluster d'utilisateur aléatoire.	1024 - 65535	cloudresourcemanager.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com	443	TCP/https	Trafic Connect.
Cloud Monitoring Collector, qui s'exécute sur un nœud de calcul de cluster d'utilisateur aléatoire	1024 - 65535	oauth2.googleapis.com Monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com	443	TCP/https
Nœuds de cluster d'utilisateur	1024 - 65535	Adresses IP des VM d'équilibrage de charge Seesaw du cluster d'utilisateur	20255, 20257	TCP/http	Surveillance des métriques et de la configuration push des équilibreurs de charge. Uniquement nécessaire si vous utilisez Bundled LB Seesaw.

Règles de pare-feu pour les composants restants

Ces règles s'appliquent à tous les autres composants non répertoriés dans les tableaux concernant les nœuds de cluster d'administrateur et les nœuds de cluster d'utilisateur.

De	Port source	To	Port	Protocole	Description
CIDR du pod du cluster d'administrateur	1024 - 65535	CIDR du pod du cluster d'administrateur	tous	tous	Le trafic inter-pod effectue le transfert L2 directement à l'aide de l'adresse IP source et de destination dans le pod CIDR.
CIDR du pod du cluster d'administrateur	1024 - 65535	Nœuds du cluster d'administrateur	tous	tous	Trafic retour du trafic externe.
CIDR du pod de cluster d'utilisateur	1024 - 65535	CIDR du pod de cluster d'utilisateur	tous	tous	Le trafic inter-pod effectue le transfert L2 directement à l'aide de l'adresse IP source et de destination dans le pod CIDR.
CIDR du pod de cluster d'utilisateur	1024 - 65535	Nœuds de cluster d'utilisateur	tous	tous	Trafic retour du trafic externe.
Clients d'utilisateurs finaux d'une application	tous	Adresse IP virtuelle d'entrée Istio	80, 443	TCP	Trafic utilisateur final vers le service d'entrée d'un cluster d'utilisateur.
Serveur de saut pour déployer le poste de travail d'administrateur	plage de ports éphémères	checkpoint-api.hashicorp.com releases.hashicorp.com API vCenter Server Adresses IP ESXi VMkernel (mgt) des hôtes dans le cluster cible	443	TCP/https	Déploiement Terraform du poste de travail d'administrateur. (Facultatif. obligatoire uniquement si vous utilisez Terraform pour créer un poste de travail administrateur.) Vérifiez la plage de ports éphémères à partir de "cat /proc/sys/net/ipv4/ip_local_port_range".
Poste de travail administrateur	32768- 60999	gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com N'importe quelle URL *.googleapis.com requise pour les services activés pour ce cluster	443	TCP/https	Téléchargez des images Docker à partir de registres Docker publics.
Poste de travail administrateur	32768- 60999	gcr.io cloudresourcemanager.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com N'importe quelle URL *.googleapis.com requise pour les services activés pour les clusters d'administrateur ou d'utilisateur	443	TCP/https	Vérifications préliminaires (validation).
Poste de travail administrateur	32768- 60999	API du serveur vCenter API F5 BIG-IP	443	TCP/https	Amorçage de cluster.
Poste de travail administrateur	32768- 60999	Adresses IP ESXi VMkernel (mgt) des hôtes du cluster cible	443	TCP/https	Le poste de travail d'administrateur importe le fichier OVA dans le datastore via les hôtes ESXi.
Poste de travail administrateur	32768- 60999	Adresse IP du nœud de la VM de plan de contrôle du cluster d'administrateur	443	TCP/https	Amorçage de cluster.
Poste de travail administrateur	32768- 60999	Adresse IP virtuelle du serveur d'API Kubernetes du cluster d'administrateur Adresses IP virtuelles des serveurs d'API Kubernetes des clusters d'utilisateurs	443	TCP/https	Amorçage de cluster. Suppression de cluster d'utilisateur.
Poste de travail administrateur	32768- 60999	Nœud de plan de contrôle et nœuds de calcul du cluster d'administrateur	443	TCP/https	Amorçage de cluster. Mises à jour du plan de contrôle.
Poste de travail administrateur	32768- 60999	Tous les nœuds de cluster d'administrateur et tous les nœuds de cluster d'utilisateur	443	TCP/https	Validation réseau dans le cadre de la commande `gkectl check-config`.
Poste de travail administrateur	32768- 60999	Adresse IP virtuelle de l'entrée Istio du cluster d'administrateur Adresse IP virtuelle de l'entrée Istio des clusters d'utilisateurs	443	TCP/https	Validation réseau dans le cadre de la commande `gkectl check-config`.
Poste de travail administrateur	32768- 60999	Adresses IP des VM d'équilibrage de charge Seesaw dans les clusters d'administrateur et d'utilisateur Adresses IP des équilibreurs de charge Seesaw dans les clusters d'administrateur et d'utilisateur	20256, 20258	TCP/http/gRPC	Vérification de l'état des équilibreurs de charge. Uniquement nécessaire si vous utilisez Bundled LB Seesaw.
Poste de travail administrateur	32768- 60999	Adresse IP du nœud de plan de contrôle du cluster	22	TCP	Obligatoire si vous avez besoin d'un accès SSH depuis le poste de travail d'administrateur vers le plan de contrôle du cluster d'administrateur.
Adresses IP des VM d'équilibrage de charge	32768- 60999	Adresses IP des nœuds du cluster correspondant	10256 : vérification de l'état des nœuds 30000 - 32767 : healthCheckNodePort	TCP/http	Vérification de l'état du nœud. healthCheckNodePort est destiné aux services dont le paramètre "externalTrafficPolicy" est défini sur "Local". Uniquement nécessaire si vous utilisez Bundled LB Seesaw.
Adresse IP automatique F5	1024 - 65535	Tous les nœuds de clusters d'administrateur et de clusters d'utilisateur	30000 - 32767	tous	Pour le trafic de plan de données dont F5 BIG-IP équilibre la charge via une adresse IP virtuelle de serveur virtuel sur les ports de nœud sur les nœuds de cluster Kubernetes. En règle générale, l'adresse IP automatique F5 se trouve sur le même réseau/sous-réseau que les nœuds du cluster Kubernetes.