Proxy- und Firewallregeln

Adressen für Ihren Proxy auf die Zulassungsliste setzen

Wenn in Ihrer Organisation ausgehender Traffic einen Proxyserver passieren muss, setzen Sie die folgenden Adressen auf die Zulassungsliste für den Proxyserver:

  • gcr.io
  • googleapis.com
  • www.googleapis.com
  • accounts.google.com
  • cloudresourcemanager.googleapis.com
  • container.googleapis.com
  • gkeconnect.googleapis.com
  • gkehub.googleapis.com
  • iam.googleapis.com
  • logging.googleapis.com
  • monitoring.googleapis.com
  • oauth2.googleapis.com
  • serviceusage.googleapis.com
  • storage.googleapis.com
  • checkpoint-api.hashicorp.com
  • releases.hashicorp.com

Wenn Sie gkeadm zum Installieren von GKE On-Prem verwenden, müssen Sie die hashicorp-URLs oben nicht auf die Zulassungsliste aufnehmen.

Wenn außerdem Ihr vCenter-Server eine externe IP-Adresse hat, setzen Sie diese Adresse auf die Zulassungsliste für den Proxyserver.

Firewallregeln

Richten Sie Ihre Firewallregeln so ein, dass der folgende Traffic zugelassen wird:

Von

An

Port

Protokoll

Beschreibung

Primärer Knoten des Administratorclusters

vCenter Server API

443

TCP/https

Größenanpassung für Cluster

Primärer Knoten des Nutzerclusters

vCenter Server API

443

TCP/https

Größenanpassung für Cluster

Cloud Logging Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird

oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Cloud Monitoring Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird

oauth2.googleapis.com
monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Primärer Knoten des Administratorclusters

F5 BIG-IP API

443

TCP/https

Primärer Knoten des Nutzerclusters

F5 BIG-IP API

443

TCP/https

Primärer Knoten des Administratorclusters

Lokale Docker-Registry

Hängt von Ihrer Registry ab

TCP/https

Erforderlich, wenn GKE On-Prem für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist

Primärer Knoten des Nutzerclusters

Lokale Docker-Registry

Hängt von Ihrer Registry ab

TCP/https

Erforderlich, wenn GKE On-Prem für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist

Primärer Knoten des Administratorclusters

gcr.io
*.googleusercontent.com
*.googleapis.com
*.k8s.io

443

TCP/https

Images aus öffentlichen Docker-Registrys herunterladen

Nicht erforderlich, wenn eine private Docker-Registry verwendet wird

Primärer Knoten des Nutzerclusters

gcr.io
*.googleusercontent.com
*.googleapis.com
*.k8s.io
443

TCP/https

Images aus öffentlichen Docker-Registrys herunterladen

Nicht erforderlich, wenn eine private Docker-Registry verwendet wird

Administratorcluster-Worker-Knoten

Administratorcluster-Worker-Knoten

Alle

179 – bgp

443 – https

5473 – Calico/Typha

9443 – Envoy-Messwerte

10250 – Kubelet-Knotenport

Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben.

Administratorcluster-Worker-Knoten

Nutzercluster-Knoten

22

ssh

API-Server für Kubelet-Kommunikation über einen SSH-Tunnel.

Nutzercluster-Worker-Knoten

Administrator-Workstation-Docker-Registry

Nutzercluster-Worker-Knoten

gcr.io
*.googleusercontent.com
*.googleapis.com
*.k8s.io

443

TCP/https

Images aus öffentlichen Docker-Registrys herunterladen

Nicht erforderlich, wenn eine private Docker-Registry verwendet wird

Nutzercluster-Worker-Knoten

F5 BIG-IP API

443

TCP/https

Nutzercluster-Worker-Knoten

VIP des pushprox-Servers, der im Administratorcluster ausgeführt wird

8443

TCP/https

Prometheus-Traffic

Nutzercluster-Worker-Knoten

Nutzercluster-Worker-Knoten

Alle

22 – ssh

179 – bgp

443 – https

5473 – Calico/Typha

9443 – Envoy-Messwerte

10250 – Kubelet-Knotenport

Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben.

Administratorcluster-Pod-CIDR

Administratorcluster-Pod-CIDR

Alle

Beliebig

Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR.

Administratorcluster-Knoten

Administratorcluster-Pod-CIDR

Alle

Beliebig

Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet.

Administratorcluster-Pod-CIDR

Administratorcluster-Knoten

Alle

Beliebig

Rücktraffic des externen Traffics

Nutzercluster-Pod-CIDR

Nutzercluster-Pod-CIDR

Alle

Beliebig

Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR.

Nutzercluster-Knoten

Nutzercluster-Pod-CIDR

Alle

Beliebig

Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet.

Nutzercluster-Pod-CIDR

Nutzercluster-Knoten

Alle

Beliebig

Rücktraffic des externen Traffics

Connect Agent, das auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird

gkeconnect.googleapis.com
gkehub.googleapis.com
www.googleapis.com
oauth2.googleapis.com
accounts.google.com

443

TCP/https

Connect-Traffic

Cloud Logging Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird

oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Cloud Monitoring Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird

oauth2.googleapis.com
monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Clients und Endnutzer einer Anwendung

VIP des eingehenden Istio-Traffics

80, 443

TCP

Endnutzer-Traffic zum Dienst für eingehenden Traffic eines Nutzerclusters

Jump-Server zum Bereitstellen der Administrator-Workstation

checkpoint-api.hashicorp.com
releases.hashicorp.com
vCenter Server API
ESXi-VMkernel-IP-Adressen (Verwaltung) von Hosts im Zielcluster

443

TCP/https

Terraform-Bereitstellung der Administrator-Workstation

Administrator-Workstation

gcr.io
*.googleusercontent.com
*.googleapis.com
*.k8s.io"

443

TCP/https

Docker-Images aus öffentlichen Docker-Registries herunterladen

Administrator-Workstation

vCenter Server API

F5 BIG-IP API

443

TCP/https

Cluster-Bootstrapping

Administrator-Workstation

ESXi-VMkernel-IP-Adressen (Verwaltung) von Hosts im Zielcluster

443

TCP/https

Die Administrator-Workstation lädt die OVA-Datei über die ESXi-Hosts in den Datenspeicher hoch.

Administratorworkstation

Knoten-IP der primären VM des Administratorclusters

443

TCP/https

Cluster-Bootstrapping

Administrator-Workstation

VIP des Kubernetes-API-Servers des Administratorclusters

VIPs der Kubernetes-API-Server von Nutzerclustern

443

TCP/https

Cluster-Bootstrapping

Nutzercluster löschen

Administratorworkstation

Primärer Knoten und Worker-Knoten des Administratorclusters

443

TCP/https

Cluster-Bootstrapping

Aktualisierungen der Steuerungsebene

Administrator-Workstation

Alle Administratorcluster-Knoten und alle Nutzercluster-Knoten

443

TCP/https

Netzwerkvalidierung als Teil des Befehls gkectl check-config

Administrator-Workstation

VIP des eingehenden Istio-Traffics des Administratorclusters

VIP des eingehenden Istio-Traffics von Nutzerclustern

443

TCP/https

Netzwerkvalidierung als Teil des Befehls gkectl check-config

Administrator-Workstation

IP-Adressen der Seesaw-LB-VMs in Administrator- und Nutzerclustern

Seesaw-LB-VIPs von Administrator- und Nutzerclustern

20256, 20258

TCP/http/gRPC

Systemdiagnose von lokalen LBs. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden

Administratorworkstation

Knoten-IP der Administratorcluster-Steuerungsebene

22

TCP

Erforderlich, wenn Sie von der Administratorworkstation aus SSH-Zugriff auf die Administratorcluster-Steuerungsebene benötigen.

Administratorcluster-Knoten

IP-Adressen der Seesaw-LB-VMs des Administratorclusters

20255, 20257

TCP/http

LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden

Nutzercluster-Knoten

IP-Adressen der Seesaw-LB-VMs des Nutzerclusters

20255, 20257

TCP/http

LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden

LB-VM-IP-Adressen

Knoten-IP-Adressen des entsprechenden Clusters

10256: Knoten-Systemdiagnose

30000 bis 32767: healthCheckNodePort

TCP/http

Knoten-Systemdiagnose. healthCheckNodePort ist für Dienste bestimmt, bei denen externalTrafficPolicy auf "Local" gesetzt ist. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden

F5-Self-IP

Alle Administrator- und Nutzercluster-Knoten

30000 bis 32767

Beliebig

Für den Traffic auf Datenebene, für den F5 BIG-IP über eine VIP eines virtuellen Servers ein Load-Balancing zu den Knotenports auf den Kubernetes-Clusterknoten durchführt

In der Regel befindet sich die F5-Self-IP im selben Netzwerk/Subnetz wie die Kubernetes-Clusterknoten.