Anthos clusters on bare metal è ora Google Distributed Cloud (solo software) per bare metal. Per ulteriori informazioni, consulta la panoramica del prodotto.

Questa pagina è stata tradotta dall'API Cloud Translation.

Installazione tramite un proxy

Questa pagina mostra come configurare le regole del proxy e del firewall per Google Distributed Cloud.

Configura il server proxy

Se le macchine che utilizzi per il bootstrap e i nodi del cluster utilizzano un server proxy per accedere a internet, devi:

Configura il proxy per il gestore di pacchetti sui nodi del cluster
Configura i dettagli del proxy nel file di configurazione del cluster.

Prerequisiti

Il server proxy deve consentire le connessioni ai seguenti indirizzi:

Indirizzo	Finalità
`*.gcr.io`	Eseguire il pull delle immagini da Container Registry.
`accounts.google.com`	Elabora le richieste di autorizzazione per OpenID e rileva le chiavi pubbliche per e la verifica dei token.
`binaryauthorization.googleapis.com`	Obbligatoria se si utilizza Autorizzazione binaria. Autorizza (o rifiuta) le richieste dai cluster per l'esecuzione delle immagini container.
`cloudresourcemanager.googleapis.com`	Risolvi i metadati relativi al progetto Google Cloud su cui si trova il cluster è connesso.
`compute.googleapis.com`	Verifica la regione delle risorse di Cloud Logging e Cloud Monitoring.
`connectgateway.googleapis.com`	Attiva la possibilità di concedi all'assistenza clienti Google Cloud l'accesso di sola lettura al cluster per diagnosticare per risolvere problemi di produzione e facilità d'uso.
`dl.google.com`	Scarica e installa Google Cloud SDK.
`gkeconnect.googleapis.com`	Stabilire il canale utilizzato per ricevere richieste da Google Cloud e risolvere i problemi. Se il cluster è stato registrato nel parco risorse utilizzando una della regione Google Cloud, devi inserire nella lista consentita `REGION-gkeconnect.googleapis.com` (ad esempio `us-central1-gkeconnect.googleapis.com`). Se non hai specificato regione, il cluster utilizza l'istanza del servizio Connect globale e tu inserisci nella lista consentita `gkeconnect.googleapis.com`. Se devi trovare la località dell'abbonamento al parco risorse per il cluster, esegui `gcloud container fleet memberships list`. Per ulteriori informazioni, vedi `gkeConnect.location`.
`gkehub.googleapis.com`	Creazione lato Google Cloud abbonamento al fleet che corrispondono al cluster con cui ti connetti in Google Cloud.
`gkeonprem.googleapis.com`	Crea e gestisci il ciclo di vita del cluster su bare metal e VMware dell'infrastruttura.
`gkeonprem.mtls.googleapis.com`	Crea e gestisci il ciclo di vita del cluster su bare metal e VMware dell'infrastruttura. Questa versione dell'API viene utilizzata automaticamente con mTLS.
`iam.googleapis.com`	Crea account di servizio che puoi utilizzare per l'autenticazione Google Cloud ed effettuare chiamate API.
`iamcredentials.googleapis.com`	Fornisce controllo di ammissione e reporting sulla telemetria per l'audit logging.
`kubernetesmetadata.googleapis.com`	I cluster usano questa API come endpoint a cui inviare metadati Kubernetes in Google Cloud. I metadati sono vitali per il monitoraggio, il debug e il monitoraggio del cluster e il ripristino di emergenza.
`logging.googleapis.com`	Scrivere voci di log e gestire la configurazione di Cloud Logging.
`monitoring.googleapis.com`	Gestire i dati e le configurazioni di Cloud Monitoring.
`oauth2.googleapis.com`	Esegui l'autenticazione tramite lo scambio di token OAuth per l'accesso all'account.
`opsconfigmonitoring.googleapis.com`	Raccogliere metadati per risorse Kubernetes come pod, deployment o nodi per arricchire le query sulle metriche.
`releases.hashicorp.com`	Facoltativo. Utilizza il client Terraform sulla workstation di amministrazione per l'esecuzione come `terraform apply`.
`securetoken.googleapis.com`	Recupera i token di aggiornamento per l'autorizzazione delle identità per i carichi di lavoro.
`servicecontrol.googleapis.com`	Scrivere voci di audit log in Cloud Audit Logs.
`serviceusage.googleapis.com`	Abilita e convalida servizi e API.
`stackdriver.googleapis.com`	Gestisci i metadati di Google Cloud Observability, come gli account Stackdriver.
`storage.googleapis.com`	Gestire l'archiviazione di oggetti e i bucket, ad esempio gli oggetti Container Registry.
`sts.googleapis.com`	Scambiare credenziali Google o di terze parti con un token di accesso di breve durata per dell'accesso a specifiche risorse Google Cloud.
`www.googleapis.com`	Autentica i token di servizio dal servizio Google Cloud in entrata richieste.

Oltre a questi URL, il server proxy deve consentire anche i mirroring dei pacchetti richiesto dal gestore di pacchetti del tuo sistema operativo. Puoi aggiornare il pacchetto alla configurazione del gestore di telefonia mobile di utilizzare un elenco più deterministico, più facile da gestire.

Configura il proxy per il gestore di pacchetti sui nodi del cluster

Google Distributed Cloud utilizza il gestore di pacchetti APT su Ubuntu e il pacchetto DNF su Red Hat Enterprise Linux. Assicurati che il gestore di pacchetti del sistema operativo abbia configurazione del proxy corretta.

Fai riferimento alla documentazione della distribuzione del tuo sistema operativo per maggiori dettagli sulla configurazione proxy. I seguenti esempi mostrano un modo per configurare le impostazioni del proxy:

APT

Questi comandi mostrano come configurare il proxy per APT:

sudo touch /etc/apt/apt.conf.d/proxy.conf

echo 'Acquire::http::Proxy "http://USERNAME:PASSWORD@DOMAIN";' \
    >> /etc/apt/apt.conf.d/proxy.conf

echo 'Acquire::https::Proxy "http://USERNAME:PASSWORD@DOMAIN";' \
    >> /etc/apt/apt.conf.d/proxy.conf

Sostituisci USERNAME:PASSWORD@DOMAIN con dettagli specifici del tuo configurazione. Ad esempio, se il proxy non richiede l'accesso, non includi USERNAME:PASSWORD@ con DOMAIN.

DNF

Questo comando mostra come configurare il proxy per DNF:

echo "proxy=http://USERNAME:PASSWORD@DOMAIN" >> /etc/dnf/dnf.conf

Sostituisci USERNAME:PASSWORD@DOMAIN con dettagli specifici del tuo configurazione. Ad esempio, se il proxy non richiede l'accesso, non includi USERNAME:PASSWORD@ con DOMAIN.

Configura i dettagli del proxy nel file di configurazione del cluster

Nel file di configurazione del cluster, imposta i valori seguenti per configurare per utilizzare il proxy:

`proxy.url`

Una stringa che specifica l'URL del proxy. Le macchine bootstrap e nodo utilizzano questo un proxy per accedere a internet. La stringa dell'URL del proxy deve iniziare con il relativo schema ad esempio http:// o https://.

`proxy.noProxy`

Un elenco di indirizzi IP, nomi host e nomi di dominio che non devono essere superati il server proxy.

Nella maggior parte dei casi, non è necessario aggiungere voci a questo elenco.

noProxy casi d'uso:

Uso di un Mirroring pacchetto privato, che si trova nella stessa rete privata (Non è necessario un proxy per accedere)
Utilizzo di un mirror privato del registro, situato nella stessa rete privata (Non è necessario un proxy per accedere)

Esempio

Di seguito è riportato un esempio delle impostazioni del proxy in una configurazione del cluster file:

  proxy:
     url: http://USERNAME:PASSWORD@DOMAIN
     noProxy:
     - example1.com
     - example2.com

Configurazioni proxy per GKE Identity Service

Se utilizzi il servizio di identità GKE per l'autenticazione in Google Distributed Cloud di cluster, sono necessari i seguenti passaggi aggiuntivi per GKE Identity Service funziona quando si utilizza un proxy.

Nel file di configurazione del cluster, imposta i dettagli del proxy nel file OIDC Sezione authentication per le impostazioni del servizio di identità GKE.
```
  authentication:
    oidc:
      proxy: http://USERNAME:PASSWORD@DOMAIN
```
Aggiorna la configurazione del server proxy per consentire le connessioni a OIDC URL di autenticazione del provider.

Come viene utilizzato il proxy all'interno del cluster

Come regola generale, i comandi bmctl e i processi che generano utilizzano il proxy definita dalle variabili di ambiente HTTPS_PROXY e NO_PROXY, se definiti. In caso contrario, bmctl utilizza la configurazione proxy del di configurazione del cluster. Altri comandi eseguiti sull'amministratore della workstation, sulle macchine con nodi cluster o tramite il cluster di bootstrap, configurazione dal file di configurazione del cluster.

Il gestore di pacchetti del sistema operativo su ciascun nodo utilizza i propri i propri file di configurazione per le impostazioni del proxy.

Esegui l'override della configurazione del proxy nella macchina di bootstrap

Puoi eseguire la workstation di amministrazione dietro un proxy diverso da quello utilizzato delle macchine nodo eseguendo l'override delle impostazioni del proxy nella configurazione del cluster. . Per eseguire l'override delle impostazioni del proxy, imposta le seguenti variabili di ambiente sulla macchina bootstrap:

export HTTPS_PROXY=http://USERNAME:PASSWORD@DOMAIN

Sostituisci USERNAME:PASSWORD@DOMAIN con dettagli specifici del tuo configurazione.

export NO_PROXY=example1.com,example2.com

Sostituisci example1.com,example2.com con indirizzi IP, nomi host e nomi di dominio che non devono passare attraverso il server proxy.

Effetti collaterali

Se eseguito come root, bmctl aggiorna la configurazione del proxy Docker nell' bootstrap. Se non esegui bmctl come root, configura il proxy Docker manualmente.

Regole firewall

Configura le regole firewall come descritto nelle sezioni seguenti per consentire il traffico descritto necessario per Google Distributed Cloud.

Per i requisiti delle porte dei prerequisiti per Google Distributed Cloud, vedi Utilizzo delle porte.

Regole firewall per gli indirizzi IP dei nodi cluster

La tabella seguente descrive le regole firewall per gli indirizzi IP disponibili in nei cluster.

Da	Porta di origine	A	Porta	Protocollo	Descrizione
Nodo cluster	1024 - 65535	`cloudresourcemanager.googleapis.com` `gkeconnect.googleapis.com` `gkehub.googleapis.com`	443	TCP/HTTPS	L'accesso è richiesto per registrazione del parco risorse.
Collettore Cloud Logging, che viene eseguito sul nodo cluster	1024 - 65535	`oauth2.googleapis.com` `logging.googleapis.com` `stackdriver.googleapis.com` `servicecontrol.googleapis.com` `storage.googleapis.com` `www.googleapis.com`	443	TCP/HTTPS
Cloud Metadata Collector, che viene eseguito sul nodo cluster	1024 - 65535	`opsconfigmonitoring.googleapis.com`	443	TCP/HTTPS
Collettore di Cloud Monitoring, che viene eseguito sul nodo cluster	1024 - 65535	`oauth2.googleapis.com` `monitoring.googleapis.com` `stackdriver.googleapis.com` `servicecontrol.googleapis.com`	443	TCP/HTTPS
Nodo cluster	1024 - 65535	Registro Docker locale on-premise	Dipende dal registro	TCP/HTTPS	Obbligatorio se Google Distributed Cloud è configurato per utilizzare un server privato locale Docker anziché `gcr.io`.
Nodo cluster	1024 - 65535	`gcr.io` `oauth2.googleapis.com` `storage.googleapis.com` Qualsiasi URL dell'API di Google del modulo `*.googleapis.com` richiesto per la abilitati per il cluster di amministrazione.	443	TCP/HTTPS	Scaricare immagini dai registri Docker pubblici. Non è obbligatorio se utilizzi un Docker privato.
Agente Connect, che viene eseguito su un nodo cluster	1024 - 65535	`cloudresourcemanager.googleapis.com` `gkeconnect.googleapis.com` `gkehub.googleapis.com` `www.googleapis.com` `iam.googleapis.com` `iamcredentials.googleapis.com` `oauth2.googleapis.com` `securetoken.googleapis.com` `sts.googleapis.com` `accounts.google.com`	443	TCP/HTTPS	Per ulteriori informazioni sul traffico gestito da Connect Agent, consulta la panoramica di Connect Agent.
Nodo cluster	1024 - 65535	`gkeonprem.googleapis.com` `gkeonprem.mtls.googleapis.com`	443	TCP/HTTPS	Crea e gestisci il ciclo di vita del cluster su bare metal e VMware dell'infrastruttura.

Regole firewall per i componenti rimanenti

Le regole descritte nella seguente tabella si applicano a tutti gli altri componenti non elencati nella sezione precedente.

Da	Porta di origine	A	Porta	Protocollo	Descrizione
Client e utenti finali delle applicazioni	Tutti	VIP del traffico Istio in entrata	80, 443	TCP	Traffico degli utenti finali verso il servizio in entrata di un cluster utente.
Workstation di amministrazione	32.768 - 60.999	`gcr.io` `cloudresourcemanager.googleapis.com` `oauth2.googleapis.com` `storage.googleapis.com` Qualsiasi URL `*.googleapis.com` richiesto per i servizi attivati per questo cluster	443	TCP/HTTPS	Scaricare immagini Docker dai registri Docker pubblici.
Workstation di amministrazione	32.768 - 60.999	`gcr.io` `cloudresourcemanager.googleapis.com` `iam.googleapis.com` `oauth2.googleapis.com` `serviceusage.googleapis.com` `storage.googleapis.com` Qualsiasi URL `*.googleapis.com` richiesto per i servizi attivati per i cluster di amministrazione o utente	443	TCP/HTTPS	Controlli preflight (convalida).