Règles de proxy et de pare-feu

Ajouter des adresses à une liste d'autorisation pour votre proxy

Si votre organisation exige que le trafic sortant passe par un serveur proxy, ajoutez les adresses suivantes à la liste d'autorisation sur votre serveur proxy :

  • gcr.io
  • googleapis.com
  • www.googleapis.com
  • accounts.google.com
  • cloudresourcemanager.googleapis.com
  • container.googleapis.com
  • gkeconnect.googleapis.com
  • gkehub.googleapis.com
  • iam.googleapis.com
  • logging.googleapis.com
  • monitoring.googleapis.com
  • oauth2.googleapis.com
  • serviceusage.googleapis.com
  • storage.googleapis.com
  • checkpoint-api.hashicorp.com
  • releases.hashicorp.com

Si vous utilisez gkeadm pour installer GKE On-Prem, vous n'avez pas besoin d'ajouter les URL HashiCorp à la liste d'autorisation ci-dessus.

En outre, si votre serveur vCenter possède une adresse IP externe, ajoutez-la à la liste d'autorisation sur votre serveur proxy.

Règles de pare-feu

Configurez vos règles de pare-feu pour autoriser le trafic suivant :

De

À

Port

Protocole

Description

Nœud principal du cluster d'administrateur

API du serveur vCenter

443

TCP/https

Redimensionnement du cluster

Nœud principal du cluster d'utilisateur

API du serveur vCenter

443

TCP/https

Redimensionnement du cluster

Cloud Logging Collector, qui s'exécute sur un nœud de module complémentaire de cluster d'administrateur

oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Cloud Monitoring Collector, qui s'exécute sur un nœud de module complémentaire de cluster d'administrateur

oauth2.googleapis.com
Monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Nœud principal du cluster d'administrateur

API F5 BIG-IP

443

TCP/https

Nœud principal du cluster d'utilisateur

API F5 BIG-IP

443

TCP/https

Nœud principal du cluster d'administrateur

Registre Docker local sur site

Dépend de votre registre

TCP/https

Obligatoire si GKE On-Prem est configuré pour utiliser un registre Docker privé local au lieu de gcr.io.

Nœud principal du cluster d'utilisateur

Registre Docker local sur site

Dépend de votre registre

TCP/https

Obligatoire si GKE On-Prem est configuré pour utiliser un registre Docker privé local au lieu de gcr.io.

Nœud principal du cluster d'administrateur

gcr.io
*.googleusercontent.com
*.googleapis.com
*.k8s.io

443

TCP/https

Téléchargez des images à partir de registres Docker publics.

Non requis si vous utilisez un registre Docker privé.

Nœud principal du cluster d'utilisateur

gcr.io
*.googleusercontent.com
*.googleapis.com
*.k8s.io
443

TCP/https

Téléchargez des images à partir de registres Docker publics.

Non requis si vous utilisez un registre Docker privé.

Nœuds de calcul de cluster d'administrateur

Nœuds de calcul de cluster d'administrateur

Tous

179 - bgp

443 - https

5473 - Calico/Typha

9443 - métriques Envoy

10250 - port du nœud du kubelet

Tous les nœuds de calcul doivent être adjacents à la couche 2 et ne pas avoir de pare-feu.

Nœuds de calcul de cluster d'administrateur

Nœuds de cluster d'utilisateur

22

ssh

Communication entre le serveur d'API et le kubelet via un tunnel SSH.

Nœuds de calcul de cluster d'utilisateur

Registre Docker de poste de travail d'administrateur

Nœuds de calcul de cluster d'utilisateur

gcr.io
*.googleusercontent.com
*.googleapis.com
*.k8s.io

443

TCP/https

Téléchargez des images à partir de registres Docker publics.

Non requis si vous utilisez un registre Docker privé.

Nœuds de calcul de cluster d'utilisateur

API F5 BIG-IP

443

TCP/https

Nœuds de calcul de cluster d'utilisateur

Adresse IP virtuelle du serveur pushprox, qui s'exécute dans le cluster d'administrateur.

8443

TCP/https

Trafic Prometheus.

Nœuds de calcul de cluster d'utilisateur

Nœuds de calcul de cluster d'utilisateur

tous

22 - ssh

179 - bgp

443 - https

5473 - calico-typha

9443 - métriques envoy

10250 - port de nœud kubelet"

Tous les nœuds de calcul doivent être adjacents à la couche 2 et ne pas avoir de pare-feu.

CIDR du pod du cluster d'administrateur

CIDR du pod du cluster d'administrateur

tous

tous

Le trafic inter-pod effectue le transfert L2 directement à l'aide de l'adresse IP source et de destination dans le pod CIDR.

Nœuds du cluster d'administrateur

CIDR du pod du cluster d'administrateur

tous

tous

Le trafic externe est converti dans SNAT sur le premier nœud et envoyé à l'adresse IP du pod.

CIDR du pod du cluster d'administrateur

Nœuds du cluster d'administrateur

tous

tous

Trafic retour du trafic externe.

CIDR du pod de cluster d'utilisateur

CIDR du pod de cluster d'utilisateur

tous

tous

Le trafic inter-pod effectue le transfert L2 directement à l'aide de l'adresse IP source et de destination dans le pod CIDR.

Nœuds de cluster d'utilisateur

CIDR du pod de cluster d'utilisateur

tous

tous

Le trafic externe est converti dans SNAT sur le premier nœud et envoyé à l'adresse IP du pod.

CIDR du pod de cluster d'utilisateur

Nœuds de cluster d'utilisateur

tous

tous

Trafic retour du trafic externe.

Connect Agent, qui s'exécute sur un nœud de calcul de cluster d'utilisateur aléatoire.

gkeconnect.googleapis.com
gkehub.googleapis.com
www.googleapis.com
oauth2.googleapis.com
accounts.google.com

443

TCP/https

Trafic Connect.

Cloud Logging Collector, qui s'exécute sur un nœud de calcul de cluster d'utilisateur aléatoire

oauth2.googleapis.com
logging.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Cloud Monitoring Collector, qui s'exécute sur un nœud de calcul de cluster d'utilisateur aléatoire

oauth2.googleapis.com
Monitoring.googleapis.com
stackdriver.googleapis.com
servicecontrol.googleapis.com

443

TCP/https

Clients d'utilisateurs finaux d'une application

Adresse IP virtuelle d'entrée Istio

80, 443

TCP

Trafic utilisateur final vers le service d'entrée d'un cluster d'utilisateur.

Serveur de saut pour déployer le poste de travail d'administrateur

checkpoint-api.hashicorp.com
releases.hashicorp.com
API du serveur vCenter
Adresses IP ESXi VMkernel (mgt) des hôtes dans le cluster cible

443

TCP/https

Déploiement Terraform du poste de travail d'administrateur.

Poste de travail d'administrateur

gcr.io
*.googleusercontent.com
*.googleapis.com
*.k8s.io"

443

TCP/https

Téléchargez des images Docker à partir de registres Docker publics.

Poste de travail d'administrateur

API du serveur vCenter

API F5 BIG-IP

443

TCP/https

Amorçage de cluster.

Poste de travail d'administrateur

Adresses IP ESXi VMkernel (mgt) des hôtes du cluster cible

443

TCP/https

Le poste de travail d'administrateur importe le fichier OVA dans le datastore via les hôtes ESXi.

Poste de travail administrateur

Adresse IP du nœud de la VM principale du cluster d'administrateur

443

TCP/https

Amorçage de cluster.

Poste de travail d'administrateur

Adresse IP virtuelle du serveur d'API Kubernetes du cluster d'administrateur

Adresses IP virtuelles des serveurs d'API Kubernetes des clusters d'utilisateurs

443

TCP/https

Amorçage de cluster.

Suppression de cluster d'utilisateur.

Poste de travail administrateur

Nœud principal et nœuds de calcul du cluster d'administrateur

443

TCP/https

Amorçage de cluster.

Mises à jour du plan de contrôle.

Poste de travail d'administrateur

Tous les nœuds de cluster d'administrateur et tous les nœuds de cluster d'utilisateur

443

TCP/https

Validation réseau dans le cadre de la commande gkectl check-config.

Poste de travail d'administrateur

Adresse IP virtuelle de l'entrée Istio du cluster d'administrateur

Adresse IP virtuelle de l'entrée Istio des clusters d'utilisateurs

443

TCP/https

Validation réseau dans le cadre de la commande gkectl check-config.

Poste de travail d'administrateur

Adresses IP des VM d'équilibrage de charge Seesaw dans les clusters d'administrateur et d'utilisateur

Adresses IP des équilibreurs de charge Seesaw dans les clusters d'administrateur et d'utilisateur

20256, 20258

TCP/http/gRPC

Vérification de l'état des équilibreurs de charge. Uniquement nécessaire si vous utilisez Bundled LB Seesaw.

Poste de travail administrateur

Adresse IP du nœud de plan de contrôle du cluster d'administrateur

22

TCP

Obligatoire si vous avez besoin d'un accès SSH depuis le poste de travail d'administrateur vers le plan de contrôle du cluster d'administrateur.

Nœuds du cluster d'administrateur

Adresses IP des VM d'équilibrage de charge Seesaw du cluster d'administrateur

20255, 20257

TCP/http

Surveillance des métriques et de la configuration push des équilibreurs de charge. Uniquement nécessaire si vous utilisez Bundled LB Seesaw.

Nœuds de cluster d'utilisateur

Adresses IP des VM d'équilibrage de charge Seesaw du cluster d'utilisateur

20255, 20257

TCP/http

Surveillance des métriques et de la configuration push des équilibreurs de charge. Uniquement nécessaire si vous utilisez Bundled LB Seesaw.

Adresses IP des VM d'équilibrage de charge

Adresses IP des nœuds du cluster correspondant

10256 : vérification de l'état des nœuds

30000 - 32767 : healthCheckNodePort

TCP/http

Vérification de l'état du nœud. healthCheckNodePort est destiné aux services dont le paramètre "externalTrafficPolicy" est défini sur "Local". Uniquement nécessaire si vous utilisez Bundled LB Seesaw.

Adresse IP automatique F5

Tous les nœuds de clusters d'administrateur et de clusters d'utilisateur

30000 - 32767

tous

Pour le trafic de plan de données dont F5 BIG-IP équilibre la charge via une adresse IP virtuelle de serveur virtuel sur les ports de nœud sur les nœuds de cluster Kubernetes.

En règle générale, l'adresse IP automatique F5 se trouve sur le même réseau/sous-réseau que les nœuds de cluster Kubernetes.