Questa pagina mostra come configurare le regole del proxy e del firewall per Google Distributed Cloud (solo software) per VMware.
Indirizzi inseriti nella lista consentita per il proxy
Se la tua organizzazione richiede che il traffico in uscita passi attraverso un server proxy,
inserisci nella lista consentita i seguenti indirizzi nel tuo server proxy. Tieni presente che
È necessario specificare www.googleapis.com
anziché googleapis.com
:
- dl.google.com 1
- gcr.io
- www.googleapis.com
- accounts.google.com
- anthos.googleapis.com
- anthosgke.googleapis.com
- cloudresourcemanager.googleapis.com
- compute.googleapis.com
- connectgateway.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com 2
- gkehub.googleapis.com
- gkeonprem.googleapis.com
- gkeonprem.mtls.googleapis.com
- iam.googleapis.com
- iamcredentials.googleapis.com
- kubernetesmetadata.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- opsconfigmonitoring.googleapis.com
- securetoken.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- sts.googleapis.com
- release.hashicorp.com (facoltativo) 3
Note:
1 dl.google.com
è richiesto da Google Cloud
Programma di installazione dell'SDK.
2 Se il cluster è stato registrato nel parco risorse
utilizzando una regione Google Cloud, devi inserire nella lista consentita
REGION-gkeconnect.googleapis.com
(per
ad esempio us-central1-gkeconnect.googleapis.com
). Se non hai specificato
regione, il cluster utilizza l'istanza del servizio Connect globale
lista consentita gkeconnect.googleapis.com
. Se hai bisogno di trovare le risorse
località dell'appartenenza del parco risorse, esegui gcloud container fleet memberships list
. Per
ulteriori informazioni, vedi
gkeConnect.location
.
3 Se non utilizzi il client Terraform nella
alla workstation di amministrazione di Google Cloud
per eseguire comandi come terraform apply
,
devono inserire releases.hashicorp.com
nella lista consentita. Se usi il client Terraform
sulla workstation di amministrazione, puoi facoltativamente aggiungere releases.hashicorp.com
alla lista consentita
puoi verificare se la versione del client Terraform che stai utilizzando
più recente eseguendo
terraform version
.
Inoltre, se il server vCenter ha un indirizzo IP esterno, inseriscilo nella lista consentita nel tuo server proxy.
Regole firewall per i cluster di amministrazione
Gli indirizzi IP del cluster di amministrazione dipendono dall'abilitazione o meno del piano di controllo V2 sul cluster utente e sulla versione in cui è stato creato.
Quando il piano di controllo V2 è abilitato, viene eseguito il piano di controllo per un cluster utente sul cluster utente stesso. Quando il piano di controllo V2 non è abilitato, il controllo per un cluster utente viene eseguito su uno o più nodi nel cluster di amministrazione, noto come kubeception.
Nella versione 1.28 e successive, i nuovi cluster di amministrazione ad alta disponibilità non hanno nodi aggiuntivi.
Gli indirizzi IP dei nodi dei componenti aggiuntivi del cluster di amministrazione (se presenti) e kubeception
i nodi del piano di controllo del cluster utente sono elencati nel cluster di amministrazione
File del blocco IP. Il controllo del cluster di amministrazione
i nodi del piano sono configurati nell'network.controlPlaneIPBlock.ips
del file di configurazione del cluster di amministrazione.
Perché gli indirizzi IP nel file dei blocchi IP del cluster di amministrazione non sono assegnati a nodi specifici, devi assicurarti che tutte le regole firewall elencate la tabella seguente si applica a tutti gli indirizzi IP disponibili per l'amministratore in un cluster Kubernetes.
Configura le regole del firewall per consentire il traffico seguente.
Da |
Porta di origine |
A |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|---|
Nodo del piano di controllo del cluster di amministrazione |
1024 - 65535 |
API vCenter Server |
443 |
TCP/https |
Ridimensionamento del cluster. |
Nodi aggiuntivi del cluster di amministrazione |
1024 - 65535 |
API vCenter Server |
443 |
TCP/https |
Gestione del ciclo di vita dei cluster utente. |
Nodi aggiuntivi del cluster di amministrazione |
32.768 - 60.999 |
VIP del server API Kubernetes del cluster di amministrazione VIP dei cluster utente Server API Kubernetes |
443 |
TCP/https |
Creazione del cluster utente. Aggiornamento del cluster utente. Upgrade del cluster utente. Eliminazione del cluster utente. |
Nodi del piano di controllo del cluster di amministrazione |
32.768 - 60.999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per i cluster di amministrazione o utente VIP dei cluster utente Server API Kubernetes VIP del server API Kubernetes del cluster di amministrazione API vCenter Server API BIG_IP del cluster di amministrazione F5 API BIG_IP del cluster utente F5 Server NTP del cluster di amministrazione Server NTP del cluster utente Server DNS del cluster di amministrazione Server DNS del cluster utente |
443 |
TCP/https |
Controlli preflight (convalida). Quando crei, aggiorni o esegui l'upgrade dei cluster utente. Quando crei, aggiorni o esegui l'upgrade del cluster di amministrazione. |
Nodi del piano di controllo del cluster di amministrazione |
32.768 - 60.999 |
Registro Docker locale on-premise del cluster utente |
Dipende dal registro |
TCP/https |
Controlli preflight (convalida). Obbligatorio se un cluster utente è configurato per utilizzare una risorsa locale Docker privato invece che in gcr.io. Quando crei o esegui l'upgrade dei cluster utente. Quando crei o esegui l'upgrade del cluster di amministrazione. |
Nodi del piano di controllo del cluster di amministrazione |
32.768 - 60.999 |
Nodi del cluster di amministrazione Nodi del cluster utente VIP del bilanciatore del carico del cluster di amministrazione VIP del bilanciatore del carico del cluster utente |
icmp |
Controlli preflight (convalida). Quando crei, aggiorni o esegui l'upgrade dei cluster utente. Quando crei, aggiorni o esegui l'upgrade del cluster di amministrazione. |
|
Nodi del piano di controllo del cluster di amministrazione |
32.768 - 60.999 |
Nodi worker del cluster utente |
22 |
ssh |
Controlli preflight (convalida). Quando esegui l'upgrade dei cluster utente. Quando esegui l'upgrade del cluster di amministrazione. |
Nodo del piano di controllo del cluster utente |
1024 - 65535 |
API vCenter Server |
443 |
TCP/https |
Ridimensionamento del cluster. |
Nodo del piano di controllo del cluster utente |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com o REGION-gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
L'accesso è richiesto per la registrazione del parco risorse. Vedi nota 2 dopo l'elenco degli URL da inserire nella lista consentita. |
Raccoglitore Cloud Logging, che viene eseguito su un nodo aggiuntivo del cluster di amministrazione |
1024 - 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
Cloud Metadata Collector, che viene eseguito su un nodo aggiuntivo del cluster di amministrazione |
1024 - 65535 |
opsconfigmonitoring.googleapis.com |
443 |
TCP/https |
|
Il raccoglitore Cloud Monitoring, che viene eseguito su un nodo aggiuntivo del cluster di amministrazione |
1024 - 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
Nodo del piano di controllo del cluster di amministrazione |
1024 - 65535 |
API BIG-IP di F5 |
443 |
TCP/https |
|
Nodo del piano di controllo del cluster utente |
1024 - 65535 |
API BIG-IP di F5 |
443 |
TCP/https |
|
Nodo del piano di controllo del cluster di amministrazione |
1024 - 65535 |
Registro Docker locale on-premise |
Dipende dal registro |
TCP/https |
Obbligatorio se Google Distributed Cloud è configurato in modo da utilizzare un server Docker privato invece che in gcr.io. |
Nodo del piano di controllo del cluster utente |
1024 - 65535 |
Registro Docker locale on-premise |
Dipende dal registro |
TCP/https |
Obbligatorio se Google Distributed Cloud è configurato in modo da utilizzare un server Docker privato invece che in gcr.io. |
Nodo del piano di controllo del cluster di amministrazione |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per il cluster di amministrazione |
443 |
TCP/https |
Scaricare immagini dai registri Docker pubblici. Non è obbligatorio se utilizzi un registro Docker privato. |
Nodo del piano di controllo del cluster utente |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per il cluster di amministrazione |
443 |
TCP/https |
Scaricare immagini dai registri Docker pubblici. Non è obbligatorio se utilizzi un registro Docker privato. |
Nodi worker del cluster di amministrazione |
1024 - 65535 |
Nodi worker del cluster di amministrazione |
Tutti |
179 - bgp 443 - https 5473 - Calico/Typha 9443 - Metriche Envoy 10250 - Porta del nodo kubelet |
Tutti i nodi worker devono essere adiacenti di livello 2 e privi di firewall. |
Nodi del cluster di amministrazione |
1024 - 65535 |
CIDR pod del cluster di amministrazione |
tutte |
tutte |
Il traffico esterno viene sottoposto a SNAT sul primo nodo e inviato all'IP del pod. |
Nodi worker del cluster di amministrazione |
tutte |
Nodi del cluster utente |
22 |
ssh |
Obbligatorio per kubeception. la comunicazione tra server API e kubelet tunnel SSH. Questo comando deve essere ignorato per il piano di controllo V2. |
Nodi del cluster di amministrazione |
1024 - 65535 |
IP delle VM LB di Seesaw del cluster di amministrazione |
20255,20257 |
TCP/http |
Push della configurazione bilanciatore del carico e monitoraggio delle metriche. Necessario solo se utilizzi LB Seesaw in bundle. |
Nodi del cluster di amministrazione |
1024 - 65535 |
Nodi del cluster di amministrazione |
7946 |
TCP/UDP |
Controllo di integrità MetalLB. Necessario solo se utilizzi Bilanciatore del carico MetalLB in bundle. |
Nodi del cluster di amministrazione |
Tutti |
VIP del piano di controllo del cluster utente |
443 |
https |
Obbligatorio per il piano di controllo V2. Consenti nodi e pod nel cluster di amministrazione per comunicare con il server API Kubernetes del cluster utente. |
Nodi del cluster di amministrazione |
Tutti |
Nodi del piano di controllo del cluster utente |
443 |
https |
Obbligatorio per il piano di controllo V2. Consenti nodi e pod nel cluster di amministrazione per comunicare con il server API Kubernetes del cluster utente utilizzando l'indirizzo di un nodo del piano di controllo del cluster utente. |
Regole firewall per i nodi del cluster utente
Nei nodi del cluster utente, i relativi indirizzi IP sono elencati nella File del blocco IP.
Come per i nodi del cluster di amministrazione, non sai quale indirizzo IP verrà utilizzato per quale nodo. Di conseguenza, tutte le regole nei nodi del cluster utente si applicano a ciascun nodo del cluster utente.
Da |
Porta di origine |
A |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|---|
Nodi worker del cluster utente |
tutte |
gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per questo cluster |
443 |
TCP/https |
Scaricare immagini dai registri Docker pubblici. Non è obbligatorio se utilizzi un registro Docker privato. |
Nodi worker del cluster utente |
tutte |
API BIG-IP di F5 |
443 |
TCP/https |
|
Nodi worker del cluster utente |
tutte |
VIP del server pushprox, eseguito nel cluster di amministrazione. |
8443 |
TCP/https |
Traffico Prometheus. |
Nodi worker del cluster utente |
tutte |
Nodi worker del cluster utente |
tutte |
22 - ssh 179 - bgp 443 - https 5473 - calico-tifa 9443 - Metriche di invio 10250 - Porta del nodo kubelet" |
Tutti i nodi worker devono essere adiacenti di livello 2 e privi di firewall. |
Nodi worker del cluster utente |
tutte |
VIP piano di controllo utente |
443 |
TCP/https |
|
Nodi worker del cluster utente |
Tutti |
VIP piano di controllo utente |
8132 |
GRPC |
Obbligatorio per kubeception. Connessione Konnectivity. Questo comando deve essere ignorato per il piano di controllo V2. |
Nodi del cluster di amministrazione |
Tutti |
Server vCenter del cluster utente |
443 |
https |
Consenti al cluster di amministrazione di gestire il ciclo di vita del cluster utente. Obbligatorio se i cluster di amministrazione e utente hanno server vCenter diversi. |
Nodi del cluster utente |
1024 - 65535 |
CIDR pod del cluster utente |
tutte |
tutte |
Il traffico esterno viene sottoposto a SNAT sul primo nodo e inviato all'IP del pod. |
Raccoglitore Cloud Logging, che viene eseguito su un utente casuale nodo worker del cluster |
1024 - 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
Agente Connect, che viene eseguito su un nodo worker casuale del cluster utente. |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com o REGION-gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com |
443 |
TCP/https |
Connetti per via del traffico. Vedi la nota 2 dopo l'elenco degli URL da nella lista consentita. |
Cloud Metadata Collector, che viene eseguito su un utente casuale nodo worker del cluster |
1024 - 65535 |
opsconfigmonitoring.googleapis.com kubernetesmetadata.googleapis.com |
443 |
TCP/https |
|
Collettore di Cloud Monitoring, che viene eseguito su un utente casuale nodo worker del cluster |
1024 - 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
Nodi del cluster utente |
1024 - 65535 |
IP delle VM LB di Seesaw del cluster utente |
20255,20257 |
TCP/http |
Push della configurazione bilanciatore del carico e monitoraggio delle metriche. Necessario solo se utilizzi LB Seesaw in bundle. |
I nodi del cluster degli utenti con abilitaLoadBalancer=true |
1024 - 65535 |
I nodi del cluster degli utenti con abilitaLoadBalancer=true |
7946 |
TCP/UDP |
Controllo di integrità MetalLB. Necessario solo se utilizzi Bilanciatore del carico MetalLB in bundle. |
Rete di cluster utente |
tutte |
VIP del piano di controllo del cluster utente |
443 |
TCP/https |
Regole firewall per i componenti rimanenti
Queste regole si applicano a tutti gli altri componenti non elencati nelle tabelle per i nodi del cluster di amministrazione e del cluster utente.
Da |
Porta di origine |
A |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|---|
CIDR pod del cluster di amministrazione |
1024 - 65535 |
CIDR pod del cluster di amministrazione |
tutte |
tutte |
Il traffico tra i pod esegue l'inoltro L2 direttamente utilizzando l'IP di origine e di destinazione all'interno del CIDR dei pod. |
CIDR pod del cluster di amministrazione |
1024 - 65535 |
Nodi del cluster di amministrazione |
tutte |
tutte |
Restituisci il traffico di traffico esterno. |
CIDR pod del cluster utente |
1024 - 65535 |
CIDR pod del cluster utente |
tutte |
tutte |
Il traffico tra i pod esegue l'inoltro L2 direttamente utilizzando l'IP di origine e di destinazione all'interno del CIDR dei pod. |
CIDR pod del cluster utente |
1024 - 65535 |
Nodi del cluster utente |
tutte |
tutte |
Restituisci il traffico di traffico esterno. |
Client e utenti finali delle applicazioni |
tutte |
VIP del traffico Istio in entrata |
80, 443 |
TCP |
Traffico degli utenti finali verso il servizio in entrata di un cluster utente. |
Passa al server per eseguire il deployment della workstation di amministrazione |
intervallo di porte temporanee |
API vCenter Server IP VMkernel ESXi (mgt) degli host nel cluster di destinazione |
443 |
TCP/https |
Controlla l'intervallo di porte temporanee da "cat /proc/sys/net/ipv4/ip_local_port_range". |
Workstation di amministrazione |
32.768 - 60.999 |
gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per questo cluster |
443 |
TCP/https |
Scaricare immagini Docker dai registri Docker pubblici. |
Workstation di amministrazione |
32.768 - 60.999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati per i cluster di amministrazione o utente VIP dei cluster utente Server API Kubernetes VIP del server API Kubernetes del cluster di amministrazione API vCenter Server API BIG-IP di F5 |
443 |
TCP/https |
Controlli preflight (convalida). Quando crei, aggiorni, esegui l'upgrade o elimini
cluster utilizzando |
Workstation di amministrazione |
32.768 - 60.999 |
API vCenter Server API BIG-IP di F5 |
443 |
TCP/https |
Creazione del cluster di amministrazione. Creazione del cluster utente. |
Workstation di amministrazione |
32.768 - 60.999 |
IP VMkernel ESXi (mgt) degli host nel cluster di destinazione |
443 |
TCP/https |
La workstation di amministrazione carica l'OVA nel datastore tramite ESXi . |
Workstation di amministrazione |
32.768 - 60.999 |
VIP del server API Kubernetes del cluster di amministrazione VIP dei cluster utente Server API Kubernetes |
443 |
TCP/https |
Creazione del cluster di amministrazione. Aggiornamento del cluster di amministrazione. Creazione del cluster utente. Aggiornamento del cluster utente. Eliminazione del cluster utente. |
Workstation di amministrazione |
32.768 - 60.999 |
Nodo del piano di controllo e nodi worker del cluster di amministrazione |
443 |
TCP/https |
Creazione del cluster di amministrazione. Upgrade dei piani di controllo. |
Workstation di amministrazione |
32.768 - 60.999 |
Tutti i nodi del cluster di amministrazione e tutti i nodi del cluster utente |
443 |
TCP/https |
Convalida della rete nell'ambito di |
Workstation di amministrazione |
32.768 - 60.999 |
VIP del traffico Istio in entrata del cluster di amministrazione VIP del cluster utente Ingress Istio |
443 |
TCP/https |
Convalida della rete nell'ambito di |
Workstation di amministrazione |
32.768 - 60.999 |
oauth2.googleapis.com logging.googleapis.com monitoring.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
Accesso a Cloud Logging e Monitoring. |
Workstation di amministrazione |
32.768 - 60.999 |
IP delle VM LB di Seesaw nei cluster di amministrazione e utente Seesaw LB VIP dei cluster di amministrazione e degli utenti |
20256,20258 |
TCP/http/gRPC |
Controllo di integrità dei libbre. Necessario solo se utilizzi LB Seesaw in bundle. |
Workstation di amministrazione |
32.768 - 60.999 |
IP del nodo del piano di controllo del cluster |
22 |
TCP |
Obbligatorio se hai bisogno dell'accesso SSH dalla workstation di amministrazione all'amministratore dal piano di controllo del cluster. |
Workstation di amministrazione | 32.768 - 60.999 | releases.hashicorp.com | 443 | TCP/https | Facoltativo. Vedi la nota 3 dopo l'elenco degli URL da nella lista consentita. |
IP VM bilanciatore del carico |
32.768 - 60.999 |
IP dei nodi del cluster corrispondente |
10256: controllo di integrità del nodo |
TCP/http |
Controllo di integrità del nodo. healthCheckNodePort è destinato ai servizi con externalTrafficPolicy impostato su Local. Necessario solo se utilizzi LB Seesaw in bundle. |
Auto-IP F5 |
1024 - 65535 |
Tutti i nodi di amministrazione e tutti i nodi del cluster utente |
30.000 - 32.767 |
tutte |
Per il traffico del piano dati che F5 BIG-IP bilancia il carico tramite il VIP del server alle porte dei nodi sui nodi del cluster Kubernetes. Generalmente l'IP self-ip F5 si trova nella stessa rete/subnet del dei nodi dei cluster Kubernetes. |