Questa pagina mostra come configurare le regole proxy e firewall per Google Distributed Cloud.
Configura il server proxy
Se le macchine che utilizzi per l'avvio iniziale e i nodi del cluster utilizzano un server proxy per accedere a internet, devi:
- Configura il proxy per il gestore di pacchetti sui nodi del cluster
- Configura i dettagli del proxy nel file di configurazione del cluster.
Prerequisiti
Il server proxy deve consentire le connessioni ai seguenti indirizzi:
Indirizzo | Finalità |
---|---|
*.gcr.io |
Estrai le immagini da Container Registry. |
accounts.google.com |
Elabora le richieste di autorizzazione per OpenID e rileva le chiavi pubbliche per e la verifica dei token. |
binaryauthorization.googleapis.com |
Obbligatorio se utilizzi Autorizzazione binaria. Autorizza (o rifiuta) le richieste dei cluster di eseguire immagini container. |
cloudresourcemanager.googleapis.com |
Risolvi i metadati relativi al progetto Google Cloud su cui si trova il cluster è connesso. |
compute.googleapis.com |
Verifica la regione della risorsa Cloud Logging e Cloud Monitoring. |
connectgateway.googleapis.com |
Attiva la possibilità di concedi all'assistenza clienti Google Cloud l'accesso di sola lettura al cluster per diagnosticare per risolvere problemi di produzione e facilità d'uso. |
dl.google.com |
Scarica e installa Google Cloud SDK. |
gkeconnect.googleapis.com |
Stabilire il canale utilizzato per ricevere richieste da Google Cloud e
risolvere i problemi. Se il cluster è stato registrato nel parco risorse utilizzando una
della regione Google Cloud, devi inserire nella lista consentita
REGION-gkeconnect.googleapis.com (ad esempio,
us-central1-gkeconnect.googleapis.com ). Se non hai specificato
regione, il cluster utilizza l'istanza del servizio Connect globale e tu inserisci nella lista consentita
gkeconnect.googleapis.com . Se devi trovare la località dell'abbonamento al parco risorse
per il cluster, esegui gcloud container fleet memberships list .
Per ulteriori informazioni, consulta
gkeConnect.location .
|
gkehub.googleapis.com |
Crea risorse di appartenenza al parco risorse sul lato Google Cloud corrispondenti al cluster a cui ti connetti con Google Cloud. |
gkeonprem.googleapis.com |
Crea e gestisci il ciclo di vita del cluster su bare metal e VMware dell'infrastruttura. |
gkeonprem.mtls.googleapis.com |
Crea e gestisci il ciclo di vita del cluster su bare metal e VMware dell'infrastruttura. Questa versione dell'API viene utilizzata automaticamente con mTLS. |
iam.googleapis.com |
Crea account di servizio che puoi utilizzare per autenticarti su Google Cloud ed effettuare chiamate API. |
iamcredentials.googleapis.com |
Fornisce controllo di ammissione e reporting sulla telemetria per l'audit logging. |
kubernetesmetadata.googleapis.com |
I cluster usano questa API come endpoint a cui inviare metadati Kubernetes in Google Cloud. I metadati sono fondamentali per il monitoraggio, il debug e il recupero del cluster. |
logging.googleapis.com |
Scrive le voci di log e gestisce la configurazione di Cloud Logging. |
monitoring.googleapis.com |
Gestire i dati e le configurazioni di Cloud Monitoring. |
oauth2.googleapis.com |
Autentica tramite lo scambio di token OAuth per accedere all'account. |
opsconfigmonitoring.googleapis.com |
Raccogliere metadati per risorse Kubernetes come pod, deployment o nodi per arricchire le query sulle metriche. |
releases.hashicorp.com |
Facoltativo. Utilizza il client Terraform sulla workstation di amministrazione per eseguire comandi, ad esempio terraform apply . |
securetoken.googleapis.com |
Recupera i token di aggiornamento per l'autorizzazione delle identità per i carichi di lavoro. |
servicecontrol.googleapis.com |
Scrivere voci di audit log in Cloud Audit Logs. |
serviceusage.googleapis.com |
Abilita e convalida servizi e API. |
stackdriver.googleapis.com |
Gestisci i metadati di Google Cloud Observability, ad esempio gli account Stackdriver. |
storage.googleapis.com |
Gestisci l'archiviazione di oggetti e i bucket, ad esempio gli oggetti Container Registry. |
sts.googleapis.com |
Scambiare credenziali Google o di terze parti con un token di accesso di breve durata per dell'accesso a specifiche risorse Google Cloud. |
www.googleapis.com |
Autentica i token di servizio dal servizio Google Cloud in entrata richieste. |
Oltre a questi URL, il server proxy deve consentire anche tutti i mirror dei pacchetti richiesti dal gestore dei pacchetti del sistema operativo. Puoi aggiornare la configurazione del gestore del pacchetto per utilizzare un elenco più deterministico, che è più facile da gestire.
Configura il proxy per il gestore di pacchetti sui nodi del cluster
Google Distributed Cloud utilizza il gestore di pacchetti APT su Ubuntu e il pacchetto DNF su Red Hat Enterprise Linux. Assicurati che il gestore di pacchetti del sistema operativo abbia configurazione del proxy corretta.
Per informazioni dettagliate sulla configurazione del proxy, consulta la documentazione della distribuzione del sistema operativo. Gli esempi riportati di seguito mostrano un modo per configurare le impostazioni del proxy:
APT
Questi comandi mostrano come configurare il proxy per APT:
sudo touch /etc/apt/apt.conf.d/proxy.conf
echo 'Acquire::http::Proxy "http://USERNAME:PASSWORD@DOMAIN";' \
>> /etc/apt/apt.conf.d/proxy.conf
echo 'Acquire::https::Proxy "http://USERNAME:PASSWORD@DOMAIN";' \
>> /etc/apt/apt.conf.d/proxy.conf
Sostituisci USERNAME:PASSWORD@DOMAIN
con i dettagli specifici della tua configurazione. Ad esempio, se il proxy non richiede un nome utente, non includere USERNAME:PASSWORD@
con DOMAIN
.
DNF
Questo comando mostra come configurare il proxy per DNF:
echo "proxy=http://USERNAME:PASSWORD@DOMAIN" >> /etc/dnf/dnf.conf
Sostituisci USERNAME:PASSWORD@DOMAIN
con dettagli specifici del tuo
configurazione. Ad esempio, se il proxy non richiede un nome utente, non includere USERNAME:PASSWORD@
con DOMAIN
.
Configura i dettagli del proxy nel file di configurazione del cluster
Nel file di configurazione del cluster, imposta i valori seguenti per configurare per utilizzare il proxy:
proxy.url
Una stringa che specifica l'URL del proxy. Le macchine di bootstrap e dei nodi utilizzano questo proxy per accedere a internet. La stringa dell'URL del proxy deve iniziare con il relativo schema
ad esempio http://
o https://
.
proxy.noProxy
Un elenco di indirizzi IP, nomi host e nomi di dominio che non devono passare per il server proxy.
Nella maggior parte dei casi, non è necessario aggiungere voci a questo elenco.
noProxy
casi d'uso:
Utilizzo di un mirror del pacchetto privato, che si trova nella stessa rete privata (non è necessario un proxy per accedere)
Utilizzo di un mirror del registry privato, che si trova nella stessa rete privata (non è necessario un proxy per accedere)
Esempio
Di seguito è riportato un esempio di impostazioni proxy in un file di configurazione del cluster:
proxy:
url: http://USERNAME:PASSWORD@DOMAIN
noProxy:
- example1.com
- example2.com
Configurazioni proxy per GKE Identity Service
Se utilizzi il servizio di identità GKE per l'autenticazione in Google Distributed Cloud di cluster, sono necessari i seguenti passaggi aggiuntivi per GKE Identity Service funziona quando si utilizza un proxy.
Nel file di configurazione del cluster, imposta i dettagli del proxy nella sezione OIDC
authentication
per le impostazioni di GKE Identity Service.authentication: oidc: proxy: http://USERNAME:PASSWORD@DOMAIN
Aggiorna la configurazione del server proxy per consentire le connessioni agli URL di autenticazione del fornitore OIDC.
Come viene utilizzato il proxy all'interno del cluster
Come regola generale, i comandi bmctl
e i processi che generano utilizzano il proxy
definita dalle variabili di ambiente HTTPS_PROXY
e NO_PROXY
,
se definiti. In caso contrario, bmctl
utilizza la configurazione del proxy dal
file di configurazione del cluster. Gli altri comandi eseguiti sulla workstation di amministrazione, sulle macchine dei nodi del cluster o dal cluster di bootstrap utilizzano la configurazione del proxy dal file di configurazione del cluster.
Il gestore dei pacchetti del sistema operativo su ogni nodo utilizza i suoi propri file di configurazione per le impostazioni del proxy.
Sostituisci la configurazione del proxy nella macchina di bootstrap
Puoi eseguire la workstation di amministrazione dietro un proxy diverso da quello utilizzato delle macchine nodo eseguendo l'override delle impostazioni del proxy nella configurazione del cluster. . Per sostituire le impostazioni del proxy, imposta le seguenti variabili di ambiente sulla macchina di bootstrap:
export HTTPS_PROXY=http://USERNAME:PASSWORD@DOMAIN
Sostituisci USERNAME:PASSWORD@DOMAIN
con i dettagli specifici della tua configurazione.
export NO_PROXY=example1.com,example2.com
Sostituisci example1.com,example2.com con gli indirizzi IP, i nomi host e i nomi di dominio che non devono passare attraverso il server proxy.
Effetti collaterali
Se eseguito come root, bmctl
aggiorna la configurazione del proxy Docker nell'
bootstrap. Se non esegui bmctl
come root, configura il proxy Docker
manualmente.
Regole firewall
Configura le regole firewall come descritto nelle sezioni seguenti per consentire il traffico descritto necessario per Google Distributed Cloud.
Per i requisiti delle porte dei prerequisiti per Google Distributed Cloud, consulta Utilizzo delle porte.
Regole firewall per gli indirizzi IP dei nodi cluster
La tabella seguente descrive le regole firewall per gli indirizzi IP disponibili in nei cluster.
Da |
Porta di origine |
A |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|---|
Nodo del cluster | 1024 - 65535 | cloudresourcemanager.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com |
443 | TCP/HTTPS | L'accesso è richiesto per registrazione del parco risorse. |
Cloud Logging Collector, che viene eseguito sul nodo del cluster | 1024 - 65535 | oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 | TCP/HTTPS | |
Cloud Metadata Collector, che viene eseguito sul nodo del cluster | 1024 - 65535 | opsconfigmonitoring.googleapis.com |
443 | TCP/HTTPS | |
Collettore di Cloud Monitoring, che viene eseguito sul nodo cluster | 1024 - 65535 | oauth2.googleapis.com monitoring.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com |
443 | TCP/HTTPS | |
Nodo del cluster | 1024 - 65535 | Registro Docker locale on-premise | Dipende dal tuo registry | TCP/HTTPS | Obbligatorio se Google Distributed Cloud è configurato per utilizzare un server privato locale
Docker anziché gcr.io . |
Nodo del cluster | 1024 - 65535 | gcr.io oauth2.googleapis.com storage.googleapis.com Qualsiasi URL dell'API Google del tipo *.googleapis.com richiesto per i servizi abilitati per il cluster di amministrazione. |
443 | TCP/HTTPS | Scaricare le immagini dai registri Docker pubblici. Non è necessario se utilizzi un registro Docker privato. |
Agente Connect, che viene eseguito su un nodo cluster | 1024 - 65535 | cloudresourcemanager.googleapis.com gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com |
443 | TCP/HTTPS | Per ulteriori informazioni sul traffico gestito da Connect Agent, consulta la panoramica di Connect Agent. |
Nodo cluster | 1024 - 65535 |
gkeonprem.googleapis.com gkeonprem.mtls.googleapis.com |
443 | TCP/HTTPS | Crea e gestisci il ciclo di vita del cluster su bare metal e VMware dell'infrastruttura. |
Regole firewall per i componenti rimanenti
Le regole descritte nella seguente tabella si applicano a tutti gli altri componenti non elencati nella sezione precedente.
Da |
Porta di origine |
A |
Porta |
Protocollo |
Descrizione |
---|---|---|---|---|---|
Clienti e utenti finali dell'applicazione | Tutti | VIP del traffico Istio in entrata | 80, 443 | TCP | Traffico degli utenti finali verso il servizio in entrata di un cluster utente. |
Workstation di amministrazione | 32768 - 60999 | gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi attivati
per questo cluster |
443 | TCP/HTTPS | Scaricare le immagini Docker dai registri Docker pubblici. |
Workstation di amministrazione | 32.768 - 60.999 | gcr.io cloudresourcemanager.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Qualsiasi URL *.googleapis.com richiesto per i servizi abilitati
per i cluster di amministrazione o utente |
443 | TCP/HTTPS | Controlli preflight (convalida). |