Versione 1.6. Questa versione non è più supportata come descritto nelle norme relative al supporto delle versioni di Anthos. Per le patch e gli aggiornamenti più recenti per vulnerabilità di sicurezza, esposizioni e problemi che interessano i cluster Anthos su VMware (GKE on-prem), esegui l'upgrade a una versione supportata. La versione più recente è disponibile qui.

Versioni disponibili

Proxy e regole firewall

Questa pagina mostra come configurare le regole proxy e firewall per i cluster Anthos su VMware (GKE on-prem).

Inserire indirizzi nella lista consentita per il proxy

Se la tua organizzazione richiede che il traffico in uscita passi attraverso un server proxy, autorizza i seguenti indirizzi nel server proxy. Tieni presente che è necessario l'elemento www.googleapis.com, anziché googleapis.com:

dl.google.com (obbligatorio dal programma di installazione di Google Cloud SDK)
gcr.io
www.googleapis.com
accounts.google.com
cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
oauth2.googleapis.com
securetoken.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
storage.googleapis.com
sts.googleapis.com
checkpoint-api.hashicorp.com
Release.hashicorp.com (Facoltativo) Obbligatorio solo se utilizzi Terraform per creare una workstation di amministrazione.

Se utilizzi gkeadm per installare cluster Anthos su VMware, non è necessario includere nella lista consentita gli URL hashicorp sopra riportati.

Inoltre, se il server vCenter ha un indirizzo IP esterno, inseriscilo nella lista consentita nel server proxy.

Regole firewall

Configura le regole del firewall per consentire il seguente traffico.

Regole firewall per gli indirizzi IP disponibili nel cluster di amministrazione

Gli indirizzi IP disponibili nel cluster di amministrazione sono elencati nel file di blocco IP. Questi indirizzi IP vengono utilizzati per il nodo del piano di controllo del cluster di amministrazione, per i nodi dei componenti aggiuntivi del cluster di amministrazione e per il nodo del piano del controllo del cluster utente. Poiché gli indirizzi IP del cluster di amministrazione non sono assegnati a nodi specifici, devi assicurarti che tutte le regole firewall elencate nella tabella seguente si applichino a tutti gli indirizzi IP disponibili per il cluster di amministrazione.

Da	Porta di origine	To	Porta	Protocollo	Descrizione
Nodo del piano di controllo del cluster di amministrazione	1024 - 65535	API vCenter Server	443	TCP/https	Ridimensionamento del cluster.
Nodi aggiuntivi del cluster di amministrazione	1024 - 65535	API vCenter Server	443	TCP/https	Gestione del ciclo di vita dei cluster utente.
Nodo del piano di controllo del cluster utente	1024 - 65535	API vCenter Server	443	TCP/https	Ridimensionamento del cluster.
Cloud Logging Collector, eseguito su un nodo aggiuntivo del cluster di amministrazione	1024 - 65535	oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com	443	TCP/https
Cloud Monitoring Collector, eseguito su un nodo aggiuntivo del cluster di amministrazione	1024 - 65535	oauth2.googleapis.com monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com	443	TCP/https
Nodo del piano di controllo del cluster di amministrazione	1024 - 65535	API F5 BIG-IP	443	TCP/https
Nodo del piano di controllo del cluster utente	1024 - 65535	API F5 BIG-IP	443	TCP/https
Nodo del piano di controllo del cluster di amministrazione	1024 - 65535	Registro Docker locale on-premise	Dipende dal registro	TCP/https	Obbligatorio se i cluster Anthos su VMware sono configurati per utilizzare un registro Docker privato locale anziché gcr.io.
Nodo del piano di controllo del cluster utente	1024 - 65535	Registro Docker locale on-premise	Dipende dal registro	TCP/https	Obbligatorio se i cluster Anthos su VMware sono configurati per utilizzare un registro Docker privato locale anziché gcr.io.
Nodo del piano di controllo del cluster di amministrazione	1024 - 65535	gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi *.googleapis.com URL per i servizi abilitati per il cluster di amministrazione	443	TCP/https	Scarica immagini da registri Docker pubblici. Non è necessario se si utilizza un registro Docker privato.
Nodo del piano di controllo del cluster utente	1024 - 65535	gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi *.googleapis.com URL per i servizi abilitati per il cluster di amministrazione	443	TCP/https	Scarica immagini da registri Docker pubblici. Non è necessario se si utilizza un registro Docker privato.
Nodi worker del cluster di amministrazione	1024 - 65535	Nodi worker del cluster di amministrazione	Tutti	179 - bgp 443 - https 5473: Calico/Typha 9443 - Metriche Envoy 10250: porta del nodo kubelet	Tutti i nodi worker devono essere adiacenti di livello 2 e senza alcun firewall.
Nodi cluster di amministrazione	1024 - 65535	CIDR pod di cluster di amministrazione	tutte	tutte	Il traffico esterno riceve SNAT'ed sul primo nodo e inviato all'IP del pod.
Nodi worker del cluster di amministrazione	tutte	Nodi cluster utente	22	ssh	Server API per la comunicazione kubelet su un tunnel SSH.
Nodi cluster di amministrazione	1024 - 65535	IP delle VM LB di Seesaw del cluster di amministrazione	20255,20257	TCP/http	Push della configurazione di bilanciamento del carico e monitoraggio delle metriche. Necessario solo se utilizzi LB Seesaw in bundle.

Regole firewall per i nodi del cluster utente

Nei nodi del cluster utente, i loro indirizzi IP sono elencati nel file di blocco IP.

Come per i nodi del cluster di amministrazione, non sai quale indirizzo IP verrà utilizzato per quale nodo. Pertanto, tutte le regole nei nodi del cluster utente si applicano a ogni nodo del cluster utente.

Da	Porta di origine	To	Porta	Protocollo	Descrizione
Nodi worker cluster utente	tutte	gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per questo cluster	443	TCP/https	Scarica immagini da registri Docker pubblici. Non è necessario se si utilizza un registro Docker privato.
Nodi worker cluster utente	tutte	API F5 BIG-IP	443	TCP/https
Nodi worker cluster utente	tutte	VIP del server pushprox, eseguito nel cluster di amministrazione.	8443	TCP/https	Traffico prometheus.
Nodi worker cluster utente	tutte	Nodi worker cluster utente	tutte	22 - SSH 179 - bgp 443 - https 5473: calico-typha 9443 - metriche invio 10250 - porta del nodo kubelet"	Tutti i nodi worker devono essere adiacenti di livello 2 e senza alcun firewall.
Nodi cluster utente	1024 - 65535	CIDR pod utente utente	tutte	tutte	Il traffico esterno riceve SNAT'ed sul primo nodo e inviato all'IP del pod.
Cloud Logging Collector, eseguito su un nodo worker del cluster utente casuale	1024 - 65535	oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com www.googleapis.com	443	TCP/https
Connetti l'agente, che viene eseguito su un nodo worker del cluster utente casuale.	1024 - 65535	cloudresourcemanager.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts	443	TCP/https	Connetti il traffico.
Cloud Monitoring Collector, eseguito su un nodo worker del cluster utente casuale	1024 - 65535	oauth2.googleapis.com Monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com	443	TCP/https
Nodi cluster utente	1024 - 65535	IP delle VM Seesaw LB del cluster utente	20255,20257	TCP/http	Push della configurazione di bilanciamento del carico e monitoraggio delle metriche. Necessario solo se utilizzi LB Seesaw in bundle.

Regole firewall per i componenti rimanenti

Queste regole si applicano a tutti gli altri componenti non elencati nelle tabelle per il cluster di amministrazione e i nodi del cluster utente.

Da	Porta di origine	To	Porta	Protocollo	Descrizione
CIDR pod di cluster di amministrazione	1024 - 65535	CIDR pod di cluster di amministrazione	tutte	tutte	Il traffico inter-pod esegue l'inoltro L2 direttamente utilizzando l'IP di origine e di destinazione all'interno del CIDR del pod.
CIDR pod di cluster di amministrazione	1024 - 65535	Nodi cluster di amministrazione	tutte	tutte	Restituisci il traffico di traffico esterno.
CIDR pod utente utente	1024 - 65535	CIDR pod utente utente	tutte	tutte	Il traffico inter-pod esegue l'inoltro L2 direttamente utilizzando l'IP di origine e di destinazione all'interno del CIDR del pod.
CIDR pod utente utente	1024 - 65535	Nodi cluster utente	tutte	tutte	Restituisci il traffico di traffico esterno.
Clienti e utenti finali dell'applicazione	tutte	VIP di Istio in entrata	80, 443	TCP	Traffico degli utenti finali verso il servizio in entrata di un cluster utente.
Salta il server per eseguire il deployment della workstation di amministrazione	intervallo temporaneo delle porte	checkpoint-api.hashicorp.com release.hashicorp.com API vCenter Server IP ESXi VMkernel (mgt) degli host nel cluster di destinazione	443	TCP/https	Deployment di Terraform della workstation di amministrazione. (Facoltativo) Obbligatorio solo se utilizzi Terraform per creare una workstation di amministrazione. Controlla l'intervallo di porta temporanea da 'cat /proc/sys/net/ipv4/ip_local_port_range'.
Workstation di amministrazione	32.768-60.999	gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Qualsiasi *.googleapis.com URL for the services enabled for this cluster	443	TCP/https	Scarica immagini Docker da registri Docker pubblici.
Workstation di amministrazione	32.768-60.999	gcr.io cloudresourcemanager.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Qualsiasi *.googleapis.com URL richiesto per i servizi abilitati per l'amministratore o i cluster utente	443	TCP/https	Controlli preliminari (convalida).
Workstation di amministrazione	32.768-60.999	API vCenter Server API F5 BIG-IP	443	TCP/https	Avvio cluster di cluster.
Workstation di amministrazione	32.768-60.999	IP ESXi VMkernel (mgt) degli host nel cluster di destinazione	443	TCP/https	La workstation di amministrazione carica l'OVA nel datastore tramite gli host ESXi.
Workstation di amministrazione	32.768-60.999	IP nodo della VM del piano di controllo del cluster di amministrazione	443	TCP/https	Avvio cluster di cluster.
Workstation di amministrazione	32.768-60.999	VIP del server API Kubernetes del cluster di amministrazione VIP degli cluster utente' server API Kubernetes	443	TCP/https	Avvio cluster di cluster. Eliminazione del cluster utente.
Workstation di amministrazione	32.768-60.999	Nodo del piano di controllo del cluster di amministrazione e nodi worker	443	TCP/https	Avvio cluster di cluster. Upgrade del piano di controllo.
Workstation di amministrazione	32.768-60.999	Tutti i nodi del cluster di amministrazione e tutti i nodi del cluster utente	443	TCP/https	Convalida della rete come parte del comando `gkectl check-config`.
Workstation di amministrazione	32.768-60.999	VIP del traffico in entrata Istio del cluster di amministrazione VIP dei cluster utente' Istio in entrata	443	TCP/https	Convalida della rete come parte del comando `gkectl check-config`.
Workstation di amministrazione	32.768-60.999	IP delle VM di Seesaw LB nei cluster di amministrazione e degli utenti Visualizza i VIP LB dei cluster di amministrazione e degli utenti	20256.20258	TCP/http/gRPC	Controllo di integrità degli oggetti LB. Necessaria solo se utilizzi l'API Ls Seesaw in bundle.
Workstation di amministrazione	32.768-60.999	IP nodo del piano di controllo del cluster	22	TCP	Obbligatorio se hai bisogno dell'accesso SSH dalla workstation di amministrazione al piano di controllo del cluster di amministrazione.
IP VM LB	32.768-60.999	IP dei nodi del cluster corrispondente	10256: controllo di integrità del nodo 30000 - 32767: HealthCheckNodePort	TCP/http	Controllo di integrità del nodo. HealthCheckNodePort è destinato ai servizi con externalTrafficPolicy impostato su Local. Necessaria solo se utilizzi l'API Ls Seesaw in bundle.
Auto-IP F5	1024 - 65535	Tutti i nodi amministratore e tutti i cluster utente	30.000-32.767	tutte	Per il traffico del piano dati, il bilanciamento FG BIG-IP bilancia tramite un VIP server virtuale le porte dei nodi sui nodi del cluster Kubernetes. In genere l'auto-IP di F5 si trova sulla stessa rete/subnet dei nodi del cluster Kubernetes.