Anthos clusters on bare metal è ora Google Distributed Cloud (solo software) per bare metal. Per ulteriori informazioni, consulta la panoramica del prodotto.

Questa pagina è stata tradotta dall'API Cloud Translation.

Installazione tramite un proxy

Questa pagina mostra come configurare le regole proxy e firewall per Google Distributed Cloud.

Configura il server proxy

Se le macchine che utilizzi per l'avvio iniziale e i nodi del cluster utilizzano un server proxy per accedere a internet, devi:

Configura il proxy per il gestore di pacchetti sui nodi del cluster
Configura i dettagli del proxy nel file di configurazione del cluster.

Prerequisiti

Il server proxy deve consentire le connessioni ai seguenti indirizzi:

Indirizzo	Finalità
`*.gcr.io`	Estrai le immagini da Container Registry.
`accounts.google.com`	Elabora le richieste di autorizzazione per OpenID e rileva le chiavi pubbliche per e la verifica dei token.
`binaryauthorization.googleapis.com`	Obbligatorio se utilizzi Autorizzazione binaria. Autorizza (o rifiuta) le richieste dei cluster di eseguire immagini container.
`cloudresourcemanager.googleapis.com`	Risolvi i metadati relativi al progetto Google Cloud su cui si trova il cluster è connesso.
`compute.googleapis.com`	Verifica la regione della risorsa Cloud Logging e Cloud Monitoring.
`connectgateway.googleapis.com`	Attiva la possibilità di concedi all'assistenza clienti Google Cloud l'accesso di sola lettura al cluster per diagnosticare per risolvere problemi di produzione e facilità d'uso.
`dl.google.com`	Scarica e installa Google Cloud SDK.
`gkeconnect.googleapis.com`	Stabilire il canale utilizzato per ricevere richieste da Google Cloud e risolvere i problemi. Se il cluster è stato registrato nel parco risorse utilizzando una della regione Google Cloud, devi inserire nella lista consentita `REGION-gkeconnect.googleapis.com` (ad esempio, `us-central1-gkeconnect.googleapis.com`). Se non hai specificato regione, il cluster utilizza l'istanza del servizio Connect globale e tu inserisci nella lista consentita `gkeconnect.googleapis.com`. Se devi trovare la località dell'abbonamento al parco risorse per il cluster, esegui `gcloud container fleet memberships list`. Per ulteriori informazioni, consulta `gkeConnect.location`.
`gkehub.googleapis.com`	Crea risorse di appartenenza al parco risorse sul lato Google Cloud corrispondenti al cluster a cui ti connetti con Google Cloud.
`gkeonprem.googleapis.com`	Crea e gestisci il ciclo di vita del cluster su bare metal e VMware dell'infrastruttura.
`gkeonprem.mtls.googleapis.com`	Crea e gestisci il ciclo di vita del cluster su bare metal e VMware dell'infrastruttura. Questa versione dell'API viene utilizzata automaticamente con mTLS.
`iam.googleapis.com`	Crea account di servizio che puoi utilizzare per autenticarti su Google Cloud ed effettuare chiamate API.
`iamcredentials.googleapis.com`	Fornisce controllo di ammissione e reporting sulla telemetria per l'audit logging.
`kubernetesmetadata.googleapis.com`	I cluster usano questa API come endpoint a cui inviare metadati Kubernetes in Google Cloud. I metadati sono fondamentali per il monitoraggio, il debug e il recupero del cluster.
`logging.googleapis.com`	Scrive le voci di log e gestisce la configurazione di Cloud Logging.
`monitoring.googleapis.com`	Gestire i dati e le configurazioni di Cloud Monitoring.
`oauth2.googleapis.com`	Autentica tramite lo scambio di token OAuth per accedere all'account.
`opsconfigmonitoring.googleapis.com`	Raccogliere metadati per risorse Kubernetes come pod, deployment o nodi per arricchire le query sulle metriche.
`releases.hashicorp.com`	Facoltativo. Utilizza il client Terraform sulla workstation di amministrazione per eseguire comandi, ad esempio `terraform apply`.
`securetoken.googleapis.com`	Recupera i token di aggiornamento per l'autorizzazione delle identità per i carichi di lavoro.
`servicecontrol.googleapis.com`	Scrivere voci di audit log in Cloud Audit Logs.
`serviceusage.googleapis.com`	Abilita e convalida servizi e API.
`stackdriver.googleapis.com`	Gestisci i metadati di Google Cloud Observability, ad esempio gli account Stackdriver.
`storage.googleapis.com`	Gestisci l'archiviazione di oggetti e i bucket, ad esempio gli oggetti Container Registry.
`sts.googleapis.com`	Scambiare credenziali Google o di terze parti con un token di accesso di breve durata per dell'accesso a specifiche risorse Google Cloud.
`www.googleapis.com`	Autentica i token di servizio dal servizio Google Cloud in entrata richieste.

Oltre a questi URL, il server proxy deve consentire anche tutti i mirror dei pacchetti richiesti dal gestore dei pacchetti del sistema operativo. Puoi aggiornare la configurazione del gestore del pacchetto per utilizzare un elenco più deterministico, che è più facile da gestire.

Configura il proxy per il gestore di pacchetti sui nodi del cluster

Google Distributed Cloud utilizza il gestore di pacchetti APT su Ubuntu e il pacchetto DNF su Red Hat Enterprise Linux. Assicurati che il gestore di pacchetti del sistema operativo abbia configurazione del proxy corretta.

Per informazioni dettagliate sulla configurazione del proxy, consulta la documentazione della distribuzione del sistema operativo. Gli esempi riportati di seguito mostrano un modo per configurare le impostazioni del proxy:

APT

Questi comandi mostrano come configurare il proxy per APT:

sudo touch /etc/apt/apt.conf.d/proxy.conf

echo 'Acquire::http::Proxy "http://USERNAME:PASSWORD@DOMAIN";' \
    >> /etc/apt/apt.conf.d/proxy.conf

echo 'Acquire::https::Proxy "http://USERNAME:PASSWORD@DOMAIN";' \
    >> /etc/apt/apt.conf.d/proxy.conf

Sostituisci USERNAME:PASSWORD@DOMAIN con i dettagli specifici della tua configurazione. Ad esempio, se il proxy non richiede un nome utente, non includere USERNAME:PASSWORD@ con DOMAIN.

DNF

Questo comando mostra come configurare il proxy per DNF:

echo "proxy=http://USERNAME:PASSWORD@DOMAIN" >> /etc/dnf/dnf.conf

Sostituisci USERNAME:PASSWORD@DOMAIN con dettagli specifici del tuo configurazione. Ad esempio, se il proxy non richiede un nome utente, non includere USERNAME:PASSWORD@ con DOMAIN.

Configura i dettagli del proxy nel file di configurazione del cluster

Nel file di configurazione del cluster, imposta i valori seguenti per configurare per utilizzare il proxy:

`proxy.url`

Una stringa che specifica l'URL del proxy. Le macchine di bootstrap e dei nodi utilizzano questo proxy per accedere a internet. La stringa dell'URL del proxy deve iniziare con il relativo schema ad esempio http:// o https://.

`proxy.noProxy`

Un elenco di indirizzi IP, nomi host e nomi di dominio che non devono passare per il server proxy.

Nella maggior parte dei casi, non è necessario aggiungere voci a questo elenco.

noProxy casi d'uso:

Utilizzo di un mirror del pacchetto privato, che si trova nella stessa rete privata (non è necessario un proxy per accedere)
Utilizzo di un mirror del registry privato, che si trova nella stessa rete privata (non è necessario un proxy per accedere)

Esempio

Di seguito è riportato un esempio di impostazioni proxy in un file di configurazione del cluster:

  proxy:
     url: http://USERNAME:PASSWORD@DOMAIN
     noProxy:
     - example1.com
     - example2.com

Configurazioni proxy per GKE Identity Service

Se utilizzi il servizio di identità GKE per l'autenticazione in Google Distributed Cloud di cluster, sono necessari i seguenti passaggi aggiuntivi per GKE Identity Service funziona quando si utilizza un proxy.

Nel file di configurazione del cluster, imposta i dettagli del proxy nella sezione OIDCauthentication per le impostazioni di GKE Identity Service.
```
  authentication:
    oidc:
      proxy: http://USERNAME:PASSWORD@DOMAIN
```
Aggiorna la configurazione del server proxy per consentire le connessioni agli URL di autenticazione del fornitore OIDC.

Come viene utilizzato il proxy all'interno del cluster

Come regola generale, i comandi bmctl e i processi che generano utilizzano il proxy definita dalle variabili di ambiente HTTPS_PROXY e NO_PROXY, se definiti. In caso contrario, bmctl utilizza la configurazione del proxy dal file di configurazione del cluster. Gli altri comandi eseguiti sulla workstation di amministrazione, sulle macchine dei nodi del cluster o dal cluster di bootstrap utilizzano la configurazione del proxy dal file di configurazione del cluster.

Il gestore dei pacchetti del sistema operativo su ogni nodo utilizza i suoi propri file di configurazione per le impostazioni del proxy.

Sostituisci la configurazione del proxy nella macchina di bootstrap

Puoi eseguire la workstation di amministrazione dietro un proxy diverso da quello utilizzato delle macchine nodo eseguendo l'override delle impostazioni del proxy nella configurazione del cluster. . Per sostituire le impostazioni del proxy, imposta le seguenti variabili di ambiente sulla macchina di bootstrap:

export HTTPS_PROXY=http://USERNAME:PASSWORD@DOMAIN

Sostituisci USERNAME:PASSWORD@DOMAIN con i dettagli specifici della tua configurazione.

export NO_PROXY=example1.com,example2.com

Sostituisci example1.com,example2.com con gli indirizzi IP, i nomi host e i nomi di dominio che non devono passare attraverso il server proxy.

Effetti collaterali

Se eseguito come root, bmctl aggiorna la configurazione del proxy Docker nell' bootstrap. Se non esegui bmctl come root, configura il proxy Docker manualmente.

Regole firewall

Configura le regole firewall come descritto nelle sezioni seguenti per consentire il traffico descritto necessario per Google Distributed Cloud.

Per i requisiti delle porte dei prerequisiti per Google Distributed Cloud, consulta Utilizzo delle porte.

Regole firewall per gli indirizzi IP dei nodi cluster

La tabella seguente descrive le regole firewall per gli indirizzi IP disponibili in nei cluster.

Da	Porta di origine	A	Porta	Protocollo	Descrizione
Nodo del cluster	1024 - 65535	`cloudresourcemanager.googleapis.com` `gkeconnect.googleapis.com` `gkehub.googleapis.com`	443	TCP/HTTPS	L'accesso è richiesto per registrazione del parco risorse.
Cloud Logging Collector, che viene eseguito sul nodo del cluster	1024 - 65535	`oauth2.googleapis.com` `logging.googleapis.com` `stackdriver.googleapis.com` `servicecontrol.googleapis.com` `storage.googleapis.com` `www.googleapis.com`	443	TCP/HTTPS
Cloud Metadata Collector, che viene eseguito sul nodo del cluster	1024 - 65535	`opsconfigmonitoring.googleapis.com`	443	TCP/HTTPS
Collettore di Cloud Monitoring, che viene eseguito sul nodo cluster	1024 - 65535	`oauth2.googleapis.com` `monitoring.googleapis.com` `stackdriver.googleapis.com` `servicecontrol.googleapis.com`	443	TCP/HTTPS
Nodo del cluster	1024 - 65535	Registro Docker locale on-premise	Dipende dal tuo registry	TCP/HTTPS	Obbligatorio se Google Distributed Cloud è configurato per utilizzare un server privato locale Docker anziché `gcr.io`.
Nodo del cluster	1024 - 65535	`gcr.io` `oauth2.googleapis.com` `storage.googleapis.com` Qualsiasi URL dell'API Google del tipo `*.googleapis.com` richiesto per i servizi abilitati per il cluster di amministrazione.	443	TCP/HTTPS	Scaricare le immagini dai registri Docker pubblici. Non è necessario se utilizzi un registro Docker privato.
Agente Connect, che viene eseguito su un nodo cluster	1024 - 65535	`cloudresourcemanager.googleapis.com` `gkeconnect.googleapis.com` `gkehub.googleapis.com` `www.googleapis.com` `iam.googleapis.com` `iamcredentials.googleapis.com` `oauth2.googleapis.com` `securetoken.googleapis.com` `sts.googleapis.com` `accounts.google.com`	443	TCP/HTTPS	Per ulteriori informazioni sul traffico gestito da Connect Agent, consulta la panoramica di Connect Agent.
Nodo cluster	1024 - 65535	`gkeonprem.googleapis.com` `gkeonprem.mtls.googleapis.com`	443	TCP/HTTPS	Crea e gestisci il ciclo di vita del cluster su bare metal e VMware dell'infrastruttura.

Regole firewall per i componenti rimanenti

Le regole descritte nella seguente tabella si applicano a tutti gli altri componenti non elencati nella sezione precedente.

Da	Porta di origine	A	Porta	Protocollo	Descrizione
Clienti e utenti finali dell'applicazione	Tutti	VIP del traffico Istio in entrata	80, 443	TCP	Traffico degli utenti finali verso il servizio in entrata di un cluster utente.
Workstation di amministrazione	32768 - 60999	`gcr.io` `cloudresourcemanager.googleapis.com` `oauth2.googleapis.com` `storage.googleapis.com` Qualsiasi URL `*.googleapis.com` richiesto per i servizi attivati per questo cluster	443	TCP/HTTPS	Scaricare le immagini Docker dai registri Docker pubblici.
Workstation di amministrazione	32.768 - 60.999	`gcr.io` `cloudresourcemanager.googleapis.com` `iam.googleapis.com` `oauth2.googleapis.com` `serviceusage.googleapis.com` `storage.googleapis.com` Qualsiasi URL `*.googleapis.com` richiesto per i servizi abilitati per i cluster di amministrazione o utente	443	TCP/HTTPS	Controlli preflight (convalida).