Questa pagina mostra come configurare le regole proxy e firewall per Google Distributed Cloud.
Inserire gli indirizzi per il proxy nella lista consentita
Se l'organizzazione richiede che il traffico in uscita passi attraverso un server proxy, inserisci nella lista consentita i seguenti indirizzi nel server proxy. Tieni presente che è necessario www.googleapis.com
, anziché googleapis.com
:
- dl.google.com 1
- gcr.io
- www.googleapis.com
- accounts.google.com
- anthos.googleapis.com
- anthosgke.googleapis.com
- cloudresourcemanager.googleapis.com
- compute.googleapis.com
- connectgateway.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com 2
- gkehub.googleapis.com
- gkeonprem.googleapis.com
- gkeonprem.mtls.googleapis.com
- iam.googleapis.com
- iamcredentials.googleapis.com
- kubernetesmetadata.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- opsconfigmonitoring.googleapis.com
- securetoken.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- sts.googleapis.com
- release.hashicorp.com (facoltativo) 3
Note:
1 dl.google.com
è richiesto dal programma di installazione di Google Cloud SDK.
2 Se il cluster è stato registrato nel parco risorse utilizzando una regione Google Cloud, devi inserire nella lista consentita REGION-gkeconnect.googleapis.com
(ad esempio, us-central1-gkeconnect.googleapis.com
). Se non hai specificato una regione, il cluster utilizza l'istanza di servizio Connect globale e inserisci gkeconnect.googleapis.com
nella lista consentita. Se hai bisogno di trovare la località di appartenenza al parco risorse del cluster, esegui gcloud container fleet memberships list
. Per saperne di più, consulta gkeConnect.location
.
3 Se non utilizzi il client Terraform sulla workstation di amministrazione per eseguire comandi come terraform apply
, non è necessario inserire releases.hashicorp.com
nella lista consentita. Se utilizzi il client Terraform sulla workstation di amministrazione, puoi facoltativamente aggiungere releases.hashicorp.com
alla lista consentita in modo da poter verificare se la versione del client Terraform che utilizzi è quella più recente eseguendo il comando terraform version
.
Inoltre, se il tuo vCenter Server ha un indirizzo IP esterno, inseriscilo nella lista consentita nel tuo server proxy.
Regole firewall per i cluster di amministrazione
Gli indirizzi IP del cluster di amministrazione dipendono dall'abilitazione di Controlplane V2 nel cluster utente e dalla versione in cui è stato creato il cluster.
Se il piano di controllo V2 è abilitato, il piano di controllo per un cluster utente viene eseguito sul cluster utente stesso. Se il piano di controllo V2 non è abilitato, il piano di controllo per un cluster utente viene eseguito su uno o più nodi nel cluster di amministrazione, noto come kubeception.
Nella versione 1.28 e successive, i nuovi cluster di amministrazione ad alta disponibilità non hanno nodi aggiuntivi.
Gli indirizzi IP dei nodi dei componenti aggiuntivi dei cluster di amministrazione (se presenti) e dei nodi del piano di controllo dei cluster utente kubeception sono elencati nel file di blocchi IP del cluster di amministrazione. I nodi del piano di controllo del cluster di amministrazione sono configurati nella sezione network.controlPlaneIPBlock.ips
del file di configurazione del cluster di amministrazione.
Poiché gli indirizzi IP nel file dei blocchi IP del cluster di amministrazione non sono assegnati a nodi specifici, devi assicurarti che tutte le regole firewall elencate nella tabella seguente si applichino a tutti gli indirizzi IP disponibili per il cluster di amministrazione.
Configura le regole del firewall per consentire il traffico che segue.
Da |
Porta di origine |
A |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|---|
Nodo del piano di controllo del cluster di amministrazione |
06 - 65.535 |
API vCenter Server |
443 |
TCP/https |
Ridimensionamento del cluster. |
Nodi dei componenti aggiuntivi del cluster di amministrazione |
06 - 65.535 |
API vCenter Server |
443 |
TCP/https |
Gestione del ciclo di vita dei cluster utente. |
Nodi dei componenti aggiuntivi del cluster di amministrazione |
32.768-60.999 |
VIP del server API Kubernetes del cluster di amministrazione VIP dei server API Kubernetes dei cluster utente |
443 |
TCP/https |
Creazione del cluster utente. Aggiornamento del cluster utente. Upgrade del cluster utente. Eliminazione del cluster utente. |
Nodi del piano di controllo del cluster di amministrazione |
32.768-60.999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per i servizi abilitati per i cluster utente o di amministrazione I VIP dei server API Kubernetes del cluster utente v cluster Kubernetes Center |
443 |
TCP/https |
Controlli preflight (convalida). Quando crei, aggiorni o esegui l'upgrade dei cluster utente. Quando crei, aggiorni o esegui l'upgrade del cluster di amministrazione. |
Nodi del piano di controllo del cluster di amministrazione |
32.768-60.999 |
Registro Docker locale on-premise del cluster utente |
Dipende dal registro |
TCP/https |
Controlli preflight (convalida). Obbligatorio se il cluster utente GKE su VMware è configurato per utilizzare un registro Docker privato locale anziché gcr.io. Quando crei o esegui l'upgrade dei cluster utente. Quando crei o esegui l'upgrade del cluster di amministrazione. |
Nodi del piano di controllo del cluster di amministrazione |
32.768-60.999 |
Nodi dei cluster di amministrazione Nodi dei cluster utente VIP del bilanciatore del carico del cluster di amministrazione VIP del bilanciatore del carico del cluster utente |
icmp |
Controlli preflight (convalida). Quando crei, aggiorni o esegui l'upgrade dei cluster utente. Quando crei, aggiorni o esegui l'upgrade del cluster di amministrazione. |
|
Nodi del piano di controllo del cluster di amministrazione |
32.768-60.999 |
Nodi worker del cluster utente |
22 |
ssh |
Controlli preflight (convalida). Quando esegui l'upgrade dei cluster utente. Quando esegui l'upgrade del cluster di amministrazione. |
Nodo del piano di controllo del cluster utente |
06 - 65.535 |
API vCenter Server |
443 |
TCP/https |
Ridimensionamento del cluster. |
Nodo del piano di controllo del cluster utente |
06 - 65.535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com o REGION-gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
L'accesso è richiesto per la registrazione del parco risorse. Consulta la nota 2 dopo l'elenco degli URL da inserire nella lista consentita. |
Il raccoglitore Cloud Logging, eseguito su un nodo del componente aggiuntivo del cluster di amministrazione |
06 - 65.535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
Il raccoglitore Cloud Metadata, eseguito su un nodo del componente aggiuntivo del cluster di amministrazione |
06 - 65.535 |
opsconfigmonitoring.googleapis.com |
443 |
TCP/https |
|
Il raccoglitore Cloud Monitoring, che viene eseguito su un nodo del componente aggiuntivo del cluster di amministrazione |
06 - 65.535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
Nodo del piano di controllo del cluster di amministrazione |
06 - 65.535 |
API BIG-IP di F5 |
443 |
TCP/https |
|
Nodo del piano di controllo del cluster utente |
06 - 65.535 |
API BIG-IP di F5 |
443 |
TCP/https |
|
Nodo del piano di controllo del cluster di amministrazione |
06 - 65.535 |
Registro Docker locale on-premise |
Dipende dal registro |
TCP/https |
Obbligatorio se GKE su VMware è configurato per utilizzare un registro Docker privato locale anziché gcr.io. |
Nodo del piano di controllo del cluster utente |
06 - 65.535 |
Registro Docker locale on-premise |
Dipende dal registro |
TCP/https |
Obbligatorio se GKE su VMware è configurato per utilizzare un registro Docker privato locale anziché gcr.io. |
Nodo del piano di controllo del cluster di amministrazione |
06 - 65.535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per il cluster di amministrazione |
443 |
TCP/https |
Scarica immagini dai registry Docker pubblici. Non è necessaria se utilizzi un registro Docker privato. |
Nodo del piano di controllo del cluster utente |
06 - 65.535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per il cluster di amministrazione |
443 |
TCP/https |
Scarica immagini dai registry Docker pubblici. Non è necessaria se utilizzi un registro Docker privato. |
Nodi worker del cluster di amministrazione |
06 - 65.535 |
Nodi worker del cluster di amministrazione |
Tutti |
179 - bgp 443 - https 5473 - Calico/Typha 9443 - Metriche Envoy 10250 - porta del nodo kubelet |
Tutti i nodi worker devono essere adiacenti al livello 2 e senza firewall. |
Nodi del cluster di amministrazione |
06 - 65.535 |
CIDR pod del cluster di amministrazione |
tutte |
tutte |
Il traffico esterno viene SNAT sul primo nodo e inviato all'IP del pod. |
Nodi worker del cluster di amministrazione |
tutte |
Nodi del cluster utente |
22 |
ssh |
Obbligatorio per kubeception. Comunicazione dal server API a kubelet su un tunnel SSH. Questa operazione dovrebbe essere saltata per il piano di controllo V2. |
Nodi del cluster di amministrazione |
06 - 65.535 |
IP delle VM LB Seesaw del cluster di amministrazione |
20255,20257 |
TCP/http |
Push della configurazione LB e monitoraggio delle metriche. Necessario solo se utilizzi l'indicatore LB in bundle. |
Nodi del cluster di amministrazione |
06 - 65.535 |
Nodi del cluster di amministrazione |
7946 |
TCP/UDP |
Controllo di integrità MetalLB. Necessario solo se utilizzi LB MetalLB in bundle. |
Nodi del cluster di amministrazione |
Tutti |
VIP del piano di controllo del cluster utente |
443 |
https |
Obbligatorio per il piano di controllo V2. Consenti ai nodi e ai pod nel cluster di amministrazione di comunicare con il server API Kubernetes del cluster utente. |
Nodi del cluster di amministrazione |
Tutti |
Nodi del piano di controllo del cluster utente |
443 |
https |
Obbligatorio per il piano di controllo V2. Consenti a nodi e pod nel cluster di amministrazione di comunicare con il server API Kubernetes del cluster utente utilizzando l'indirizzo IP del nodo del piano di controllo di un cluster utente. |
Regole firewall per i nodi dei cluster utente
Nei nodi del cluster utente, i relativi indirizzi IP sono elencati nel file di blocchi IP.
Come per i nodi del cluster di amministrazione, non sai quale indirizzo IP verrà utilizzato per quale nodo. Pertanto, tutte le regole nei nodi del cluster utente si applicano a ciascun nodo del cluster utente.
Da |
Porta di origine |
A |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|---|
Nodi worker del cluster utente |
tutte |
gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per questo cluster |
443 |
TCP/https |
Scarica immagini dai registry Docker pubblici. Non è necessaria se utilizzi un registro Docker privato. |
Nodi worker del cluster utente |
tutte |
API BIG-IP di F5 |
443 |
TCP/https |
|
Nodi worker del cluster utente |
tutte |
VIP del server pushprox, in esecuzione nel cluster di amministrazione. |
8443 |
TCP/https |
Traffico Prometheus. |
Nodi worker del cluster utente |
tutte |
Nodi worker del cluster utente |
tutte |
22 - ssh 179 - bgp 443 - https 5473 - calico tifa 9443 - metriche inviate 10250 - porta del nodo kubelet |
Tutti i nodi worker devono essere adiacenti al livello 2 e senza firewall. |
Nodi worker del cluster utente |
tutte |
VIP piano di controllo utente |
443 |
TCP/https |
|
Nodi worker del cluster utente |
Tutti |
VIP piano di controllo utente |
8132 |
GRPC |
Obbligatorio per kubeception. Connessione konnectivity. Questa operazione dovrebbe essere saltata per il piano di controllo V2. |
Nodi del cluster di amministrazione |
Tutti |
Cluster utente vCenter Server |
443 |
https |
Consenti al cluster di amministrazione di gestire il ciclo di vita del cluster utente. Obbligatorio se i cluster di amministrazione e utente hanno server vCenter diversi. |
Nodi del cluster utente |
06 - 65.535 |
CIDR pod del cluster utente |
tutte |
tutte |
Il traffico esterno viene SNAT sul primo nodo e inviato all'IP del pod. |
Il raccoglitore Cloud Logging, eseguito su un nodo worker del cluster utente casuale |
06 - 65.535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
Connetti l'agente, che viene eseguito su un nodo worker del cluster utente casuale. |
06 - 65.535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com o REGION-gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com |
443 |
TCP/https |
Connettere il traffico. Consulta la nota 2 dopo l'elenco degli URL da inserire nella lista consentita. |
Cloud Metadata Collector, eseguito su un nodo worker del cluster utente casuale |
06 - 65.535 |
opsconfigmonitoring.googleapis.com kubernetesmetadata.googleapis.com |
443 |
TCP/https |
|
Il raccoglitore Cloud Monitoring, che viene eseguito su un nodo worker del cluster utente casuale |
06 - 65.535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
Nodi del cluster utente |
06 - 65.535 |
IP delle VM LB di Seesaw del cluster utente |
20255,20257 |
TCP/http |
Push della configurazione LB e monitoraggio delle metriche. Necessario solo se utilizzi l'indicatore LB in bundle. |
Gli utenti creano i nodi del cluster con EnableLoadBalancer=true |
06 - 65.535 |
Gli utenti creano i nodi del cluster con EnableLoadBalancer=true |
7946 |
TCP/UDP |
Controllo di integrità MetalLB. Necessario solo se utilizzi LB MetalLB in bundle. |
Rete cluster utente |
tutte |
VIP del piano di controllo del cluster utente |
443 |
TCP/https |
Regole firewall per i componenti rimanenti
Queste regole si applicano a tutti gli altri componenti non elencati nelle tabelle per i nodi del cluster di amministrazione e dei cluster utente.
Da |
Porta di origine |
A |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|---|
CIDR pod del cluster di amministrazione |
06 - 65.535 |
CIDR pod del cluster di amministrazione |
tutte |
tutte |
Il traffico tra i pod esegue l'inoltro L2 direttamente utilizzando l'IP di origine e di destinazione all'interno del CIDR dei pod. |
CIDR pod del cluster di amministrazione |
06 - 65.535 |
Nodi del cluster di amministrazione |
tutte |
tutte |
Restituisce il traffico di traffico esterno. |
CIDR pod del cluster utente |
06 - 65.535 |
CIDR pod del cluster utente |
tutte |
tutte |
Il traffico tra i pod esegue l'inoltro L2 direttamente utilizzando l'IP di origine e di destinazione all'interno del CIDR dei pod. |
CIDR pod del cluster utente |
06 - 65.535 |
Nodi del cluster utente |
tutte |
tutte |
Restituisce il traffico di traffico esterno. |
Client e utenti finali delle applicazioni |
tutte |
VIP del traffico in entrata Istio |
80, 443 |
TCP |
Traffico degli utenti finali verso il servizio in entrata di un cluster utente. |
Passa al server per eseguire il deployment della workstation di amministrazione |
intervallo di porte temporanee |
API vCenter Server IP VMkernel (mgt) ESXi degli host nel cluster di destinazione |
443 |
TCP/https |
Controlla l'intervallo di porte temporanee in "cat /proc/sys/net/ipv4/ip_local_port_range". |
Workstation di amministrazione |
32.768-60.999 |
gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per questo cluster |
443 |
TCP/https |
Scarica immagini Docker dai registri Docker pubblici. |
Workstation di amministrazione |
32.768-60.999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per i cluster utente o di amministrazione VIP dei server API Kubernetes dei cluster utente e API KubernetesCenter del server API Kubernetes BI-IP del cluster di amministrazione |
443 |
TCP/https |
Controlli preflight (convalida). Quando crei, aggiorni, esegui l'upgrade o elimini i cluster utilizzando |
Workstation di amministrazione |
32.768-60.999 |
API vCenter Server API BIG-IP di F5 |
443 |
TCP/https |
Creazione del cluster di amministrazione. Creazione del cluster utente. |
Workstation di amministrazione |
32.768-60.999 |
IP ESXi VMkernel (mgt) degli host nel cluster di destinazione |
443 |
TCP/https |
La workstation di amministrazione carica l'OVA nel datastore tramite gli host ESXi. |
Workstation di amministrazione |
32.768-60.999 |
VIP del server API Kubernetes del cluster di amministrazione VIP dei server API Kubernetes dei cluster utente |
443 |
TCP/https |
Creazione del cluster di amministrazione. Aggiornamento del cluster di amministrazione. Creazione del cluster utente. Aggiornamento del cluster utente. Eliminazione del cluster utente. |
Workstation di amministrazione |
32.768-60.999 |
Nodo del piano di controllo del cluster di amministrazione e nodi worker |
443 |
TCP/https |
Creazione del cluster di amministrazione. Upgrade del piano di controllo. |
Workstation di amministrazione |
32.768-60.999 |
Tutti i nodi dei cluster di amministrazione e tutti i nodi dei cluster utente |
443 |
TCP/https |
Convalida della rete come parte del comando |
Workstation di amministrazione |
32.768-60.999 |
VIP del traffico in entrata Istio del cluster di amministrazione VIP del traffico in entrata Istio dei cluster utente |
443 |
TCP/https |
Convalida della rete come parte del comando |
Workstation di amministrazione |
32.768-60.999 |
oauth2.googleapis.com logging.googleapis.com Monitoring.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
Accesso a Cloud Logging e Monitoring. |
Workstation di amministrazione |
32.768-60.999 |
IP delle VM LB di Seesaw nei cluster di amministrazione e in quelli utente I VIP di Seesaw LB dei cluster di amministrazione e degli utenti |
20256,20258 |
TCP/http/gRPC |
Controllo di integrità dei LB. Necessario solo se utilizzi bundle LB Seesaw. |
Workstation di amministrazione |
32.768-60.999 |
IP del nodo del piano di controllo del cluster |
22 |
TCP |
Obbligatorio se hai bisogno dell'accesso SSH dalla workstation di amministrazione al piano di controllo del cluster di amministrazione. |
Workstation di amministrazione | 32.768-60.999 | releases.hashicorp.com | 443 | TCP/https | Facoltativo. Consulta la nota 3 dopo l'elenco degli URL da inserire nella lista consentita. |
IP VM LB |
32.768-60.999 |
IP dei nodi del cluster corrispondente |
10256: controllo di integrità del nodo |
TCP/http |
Controllo di integrità del nodo. healthCheckNodePort è per i servizi con externalTrafficPolicy impostato su Local. Necessario solo se utilizzi bundle LB Seesaw. |
F5 Self-IP |
06 - 65.535 |
Tutti i nodi di amministrazione e tutti i cluster utente |
30.000 - 32.767 |
tutte |
Per il traffico del piano dati che F5 BIG-IP bilancia il carico tramite un VIP del server virtuale verso le porte dei nodi sui nodi del cluster Kubernetes. In genere, l'auto-ip F5 si trova sulla stessa rete/subnet dei nodi del cluster Kubernetes. |