Cette page explique comment configurer des règles de proxy et de pare-feu pour Google Distributed Cloud.
Ajouter des adresses à une liste d'autorisation pour votre proxy
Si votre organisation exige que le trafic sortant passe par un serveur proxy, ajoutez les adresses suivantes à la liste d'autorisation sur votre serveur proxy. Notez que www.googleapis.com est nécessaire, au lieu de googleapis.com :
- dl.google.com 1
- gcr.io
- www.googleapis.com
- accounts.google.com
- anthos.googleapis.com
- anthosgke.googleapis.com
- cloudresourcemanager.googleapis.com
- compute.googleapis.com
- connectgateway.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com 2
- gkehub.googleapis.com
- gkeonprem.googleapis.com
- gkeonprem.mtls.googleapis.com
- iam.googleapis.com
- iamcredentials.googleapis.com
- kubernetesmetadata.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- opsconfigmonitoring.googleapis.com
- securetoken.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- sts.googleapis.com
- releases.hashicorp.com (facultatif) 3
Remarques :
1 dl.google.com est requis par le programme d'installation du SDK Google Cloud.
2 Si votre cluster a été enregistré dans le parc à l'aide d'une région Google Cloud, vous devez ajouter REGION-gkeconnect.googleapis.com à la liste d'autorisation (par exemple, us-central1-gkeconnect.googleapis.com). Si vous n'avez pas spécifié de région, le cluster utilise l'instance de service Connect globale et vous ajoutez gkeconnect.googleapis.com à la liste d'autorisation. Si vous devez trouver l'emplacement d'appartenance à un parc de votre cluster, exécutez gcloud container fleet memberships list. Pour en savoir plus, consultez la page
gkeConnect.location.
3 Si vous n'utilisez pas le client Terraform sur votre station de travail administrateur pour exécuter des commandes telles que terraform apply, vous n'avez pas besoin pour ajouter releases.hashicorp.com à la liste d'autorisation. Si vous utilisez le client Terraform sur votre station de travail administrateur, vous pouvez éventuellement ajouter releases.hashicorp.com à la liste d'autorisation pour pouvoir vérifier si la version du client Terraform que vous utilisez est la plus récente en exécutant la commande terraform version.
En outre, si votre serveur vCenter possède une adresse IP externe, ajoutez-la à la liste d'autorisation sur votre serveur proxy.
Règles de pare-feu pour les clusters d'administrateur
Les adresses IP du cluster d'administrateur varient selon que Controlplane V2 est activé ou non sur le cluster d'utilisateur et selon la version dans laquelle le cluster a été créé.
Lorsque Controlplane V2 est activé, le plan de contrôle d'un cluster d'utilisateur s'exécute sur le cluster d'utilisateur lui-même. Lorsque Controlplane V2 n'est pas activé, le plan de contrôle d'un cluster d'utilisateur s'exécute sur un ou plusieurs nœuds du cluster d'administrateur, appelé kubeception.
Dans les versions 1.28 et ultérieures, les nouveaux clusters d'administrateur haute disponibilité ne disposent pas de nœuds complémentaires.
Les adresses IP des nœuds complémentaires du cluster d'administrateur (s'ils existent) et des nœuds du plan de contrôle du cluster d'utilisateur kubeception sont répertoriés dans le fichier de bloc d'adresses IP du cluster d'administrateur. Les nœuds du plan de contrôle du cluster d'administrateur sont configurés dans la section network.controlPlaneIPBlock.ips du fichier de configuration du cluster d'administrateur.
Étant donné que les adresses IP du fichier de bloc d'adresses IP du cluster d'administrateur ne sont pas attribuées à des nœuds spécifiques, vous devez vous assurer que toutes les règles de pare-feu répertoriées dans le tableau suivant s'appliquent à toutes les adresses IP disponibles pour le cluster d'administrateur.
Configurez vos règles de pare-feu pour autoriser le trafic suivant :
De |
Port source |
To |
Port |
Protocole |
Description |
|---|---|---|---|---|---|
|
Nœud du plan de contrôle du cluster d'administrateur |
1024 - 65535 |
API du serveur vCenter |
443 |
TCP/https |
Redimensionnement du cluster |
|
Nœuds complémentaires du cluster d'administrateur |
1024 - 65535 |
API du serveur vCenter |
443 |
TCP/https |
Gestion du cycle de vie du cluster d'utilisateur. |
|
Nœuds complémentaires du cluster d'administrateur |
32768- 60999 |
Adresse IP virtuelle du serveur d'API Kubernetes du cluster d'administrateur Adresses IP virtuelles des serveurs d'API Kubernetes des clusters d'utilisateurs |
443 |
TCP/https |
Créer un cluster d'utilisateur. Mise à jour du cluster d'utilisateur. Mise à niveau du cluster d'utilisateur. Suppression de cluster d'utilisateur. |
|
Nœuds du plan de contrôle du cluster d'administrateur |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com URL *.googleapis.com requise pour les services activés pour les clusters d'administrateur ou d'utilisateur Adresses IP virtuelles des serveurs d'API Kubernetes des clusters d'utilisateur Adresse IP virtuelle du serveur d'API Kubernetes du cluster d'administrateur API vCenter Server API Admin cluster F5 BIG_IP API User cluster F5 BIG_IP Serveurs NTP du cluster d'administrateur Serveurs NTP du cluster d'utilisateur Serveurs DNS du cluster d'administrateur Serveurs DNS du cluster d'utilisateur |
443 |
TCP/https |
Vérifications préliminaires (validation). Lorsque vous créez, mettez à jour ou mettez à niveau des clusters d'utilisateur. Lorsque vous créez, mettez à jour ou mettez à niveau le cluster d'administrateur. |
|
Nœuds du plan de contrôle du cluster d'administrateur |
32768- 60999 |
Registre Docker local du cluster d'utilisateur sur site |
Dépend de votre registre |
TCP/https |
Vérifications préliminaires (validation). Obligatoire si le cluster d'utilisateur Google Distributed Cloud est configuré pour utiliser un registre Docker privé local au lieu de gcr.io. Lorsque vous créez ou mettez à niveau des clusters d'utilisateur. Lorsque vous créez ou mettez à niveau le cluster d'administrateur |
|
Nœuds du plan de contrôle du cluster d'administrateur |
32768- 60999 |
Nœuds de cluster d'administrateur Nœuds de cluster d'utilisateur Adresses IP virtuelles de l'équilibreur de charge du cluster d'administrateur Adresses IP virtuelles de l'équilibreur de charge du cluster d'utilisateur |
icmp |
Vérifications préliminaires (validation). Lorsque vous créez, mettez à jour ou mettez à niveau des clusters d'utilisateur. Lorsque vous créez, mettez à jour ou mettez à niveau le cluster d'administrateur. |
|
|
Nœuds du plan de contrôle du cluster d'administrateur |
32768- 60999 |
Nœuds de calcul de cluster d'utilisateur |
22 |
ssh |
Vérifications préliminaires (validation). Lorsque vous mettez à niveau des clusters d'utilisateur. Lorsque vous mettez à niveau le cluster d'administrateur |
|
Nœud du plan de contrôle du cluster d'utilisateur |
1024 - 65535 |
API du serveur vCenter |
443 |
TCP/https |
Redimensionnement du cluster |
|
Nœud du plan de contrôle du cluster d'utilisateur |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com or REGION-gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
L'accès est requis pour l'enregistrement de parcs. Reportez-vous à la note 2 après la liste des URL à ajouter à la liste d'autorisation. |
|
Cloud Logging Collector, qui s'exécute sur un nœud de module complémentaire de cluster d'administrateur |
1024 - 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
|
Cloud Metadata Collector, qui s'exécute sur un nœud de module complémentaire de cluster d'administrateur |
1024 - 65535 |
opsconfigmonitoring.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector, qui s'exécute sur un nœud de module complémentaire de cluster d'administrateur |
1024 - 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
|
Nœud du plan de contrôle du cluster d'administrateur |
1024 - 65535 |
API F5 BIG-IP |
443 |
TCP/https |
|
|
Nœud du plan de contrôle du cluster d'utilisateur |
1024 - 65535 |
API F5 BIG-IP |
443 |
TCP/https |
|
|
Nœud du plan de contrôle du cluster d'administrateur |
1024 - 65535 |
Registre Docker local sur site |
Dépend de votre registre |
TCP/https |
Obligatoire si Google Distributed Cloud est configuré pour utiliser un registre Docker privé local au lieu de gcr.io. |
|
Nœud du plan de contrôle du cluster d'utilisateur |
1024 - 65535 |
Registre Docker local sur site |
Dépend de votre registre |
TCP/https |
Obligatoire si Google Distributed Cloud est configuré pour utiliser un registre Docker privé local au lieu de gcr.io. |
|
Nœud du plan de contrôle du cluster d'administrateur |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com N'importe quelle URL *.googleapis.com requise pour les services activés pour le cluster d'administrateur |
443 |
TCP/https |
Téléchargez des images à partir de registres Docker publics. Non requis si vous utilisez un registre Docker privé. |
|
Nœud du plan de contrôle du cluster d'utilisateur |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com N'importe quelle URL *.googleapis.com requise pour les services activés pour le cluster d'administrateur |
443 |
TCP/https |
Téléchargez des images à partir de registres Docker publics. Non requis si vous utilisez un registre Docker privé. |
|
Nœuds de calcul de cluster d'administrateur |
1024 - 65535 |
Nœuds de calcul de cluster d'administrateur |
Tout |
179 - bgp 443 - https 5473 - Calico/Typha 9443 - métriques Envoy 10250 - port du nœud du kubelet |
Tous les nœuds de calcul doivent être adjacents à la couche 2 et ne pas avoir de pare-feu. |
|
Nœuds du cluster d'administrateur |
1024 - 65535 |
CIDR du pod du cluster d'administrateur |
tous |
tous |
Le trafic externe est converti dans SNAT sur le premier nœud et envoyé à l'adresse IP du pod. |
|
Nœuds de calcul de cluster d'administrateur |
tous |
Nœuds de cluster d'utilisateur |
22 |
ssh |
Obligatoire pour kubeception. Communication entre le serveur d'API et le kubelet via un tunnel SSH. Cette valeur doit être ignorée pour le plan de contrôle V2. |
|
Nœuds du cluster d'administrateur |
1024 - 65535 |
Adresses IP des VM d'équilibrage de charge Seesaw du cluster d'administrateur |
20255, 20257 |
TCP/http |
Surveillance des métriques et de la configuration push des équilibreurs de charge. Uniquement nécessaire si vous utilisez Bundled LB Seesaw. |
|
Nœuds du cluster d'administrateur |
1024 - 65535 |
Nœuds du cluster d'administrateur |
7946 |
TCP/UDP |
Vérification de l'état MetalLB Uniquement nécessaire si vous utilisez Bundled LB MetalLB. |
|
Nœuds du cluster d'administrateur |
Tout |
Adresse IP virtuelle du plan de contrôle du cluster d'utilisateur |
443 |
https |
Obligatoire pour le plan de contrôle V2. Autorisez les nœuds et les pods du cluster d'administrateur à communiquer avec le serveur d'API Kubernetes du cluster d'utilisateur. |
|
Nœuds du cluster d'administrateur |
Tout |
Nœuds du plan de contrôle du cluster d'utilisateur |
443 |
https |
Obligatoire pour le plan de contrôle V2. Autorisez les nœuds et les pods du cluster d'administrateur à communiquer avec le serveur d'API Kubernetes du cluster d'utilisateur en utilisant l'adresse IP d'un nœud de plan de contrôle du cluster d'utilisateur. |
Règles de pare-feu pour les nœuds de cluster d'utilisateur
Dans les nœuds de cluster d'utilisateur, les adresses IP sont répertoriées dans le fichier de bloc d'adresses IP.
Comme pour les nœuds de cluster d'administrateur, vous ne savez pas quelle adresse IP sera utilisée pour un nœud donné. Ainsi, toutes les règles régissant les nœuds de cluster d'utilisateur s'appliquent à chaque nœud de cluster d'utilisateur.
De |
Port source |
To |
Port |
Protocole |
Description |
|---|---|---|---|---|---|
|
Nœuds de calcul de cluster d'utilisateur |
tous |
gcr.io oauth2.googleapis.com storage.googleapis.com N'importe quelle URL *.googleapis.com requise pour les services activés pour ce cluster |
443 |
TCP/https |
Téléchargez des images à partir de registres Docker publics. Non requis si vous utilisez un registre Docker privé. |
|
Nœuds de calcul de cluster d'utilisateur |
tous |
API F5 BIG-IP |
443 |
TCP/https |
|
|
Nœuds de calcul de cluster d'utilisateur |
tous |
Adresse IP virtuelle du serveur pushprox, qui s'exécute dans le cluster d'administrateur. |
8443 |
TCP/https |
Trafic Prometheus. |
|
Nœuds de calcul de cluster d'utilisateur |
tous |
Nœuds de calcul de cluster d'utilisateur |
tous |
22 - ssh 179 - bgp 443 - https 5473 - calico-typha 9443 - métriques envoy 10250 - port de nœud kubelet" |
Tous les nœuds de calcul doivent être adjacents à la couche 2 et ne pas avoir de pare-feu. |
|
Nœuds de calcul de cluster d'utilisateur |
tous |
Adresse IP virtuelle du plan de contrôle d'utilisateur |
443 |
TCP/https |
|
|
Nœuds de calcul de cluster d'utilisateur |
Tout |
Adresse IP virtuelle du plan de contrôle d'utilisateur |
8132 |
gRPC |
Obligatoire pour kubeception. Connexion Konnectivity Cette valeur doit être ignorée pour le plan de contrôle V2. |
|
Nœuds du cluster d'administrateur |
Tout |
Serveur vCenter du cluster d'utilisateur |
443 |
https |
Autorisez le cluster d'administrateur à gérer le cycle de vie du cluster d'utilisateur. Obligatoire si les clusters d'administrateur et d'utilisateur disposent de serveurs vCenter différents. |
|
Nœuds de cluster d'utilisateur |
1024 - 65535 |
CIDR du pod de cluster d'utilisateur |
tous |
tous |
Le trafic externe est converti dans SNAT sur le premier nœud et envoyé à l'adresse IP du pod. |
|
Cloud Logging Collector, qui s'exécute sur un nœud de calcul de cluster d'utilisateur aléatoire |
1024 - 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
|
Agent Connect, qui s'exécute sur un nœud de calcul de cluster d'utilisateur aléatoire. |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com or REGION-gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com |
443 |
TCP/https |
Trafic Connect. Reportez-vous à la note 2 après la liste des URL à ajouter à la liste d'autorisation. |
|
Cloud Metadata Collector, qui s'exécute sur un nœud de calcul de cluster d'utilisateur aléatoire |
1024 - 65535 |
opsconfigmonitoring.googleapis.com kubernetesmetadata.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector, qui s'exécute sur un nœud de calcul de cluster d'utilisateur aléatoire |
1024 - 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
|
Nœuds de cluster d'utilisateur |
1024 - 65535 |
Adresses IP des VM d'équilibrage de charge Seesaw du cluster d'utilisateur |
20255, 20257 |
TCP/http |
Surveillance des métriques et de la configuration push des équilibreurs de charge. Uniquement nécessaire si vous utilisez Bundled LB Seesaw. |
|
Nœuds de cluster d'utilisateurs avec "enableLoadBalancer=true" |
1024 - 65535 |
Nœuds de cluster d'utilisateurs avec "enableLoadBalancer=true" |
7946 |
TCP/UDP |
Vérification de l'état MetalLB Uniquement nécessaire si vous utilisez Bundled LB MetalLB. |
|
Réseau de cluster utilisateur |
tous |
Adresse IP virtuelle du plan de contrôle du cluster d'utilisateur |
443 |
TCP/https |
Règles de pare-feu pour les composants restants
Ces règles s'appliquent à tous les autres composants non répertoriés dans les tableaux concernant les nœuds de cluster d'administrateur et les nœuds de cluster d'utilisateur.
De |
Port source |
To |
Port |
Protocole |
Description |
|---|---|---|---|---|---|
|
CIDR du pod du cluster d'administrateur |
1024 - 65535 |
CIDR du pod du cluster d'administrateur |
tous |
tous |
Le trafic inter-pod effectue le transfert L2 directement à l'aide de l'adresse IP source et de destination dans le pod CIDR. |
|
CIDR du pod du cluster d'administrateur |
1024 - 65535 |
Nœuds du cluster d'administrateur |
tous |
tous |
Trafic retour du trafic externe. |
|
CIDR du pod de cluster d'utilisateur |
1024 - 65535 |
CIDR du pod de cluster d'utilisateur |
tous |
tous |
Le trafic inter-pod effectue le transfert L2 directement à l'aide de l'adresse IP source et de destination dans le pod CIDR. |
|
CIDR du pod de cluster d'utilisateur |
1024 - 65535 |
Nœuds de cluster d'utilisateur |
tous |
tous |
Trafic retour du trafic externe. |
|
Clients d'utilisateurs finaux d'une application |
tous |
Adresse IP virtuelle d'entrée Istio |
80, 443 |
TCP |
Trafic utilisateur final vers le service d'entrée d'un cluster d'utilisateur. |
|
Serveur de saut pour déployer le poste de travail d'administrateur |
plage de ports éphémères |
API vCenter Server Adresses IP ESXi VMkernel (mgt) des hôtes dans le cluster cible |
443 |
TCP/https |
Vérifiez la plage de ports éphémères à partir de "cat /proc/sys/net/ipv4/ip_local_port_range". |
|
Poste de travail administrateur |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com N'importe quelle URL *.googleapis.com requise pour les services activés pour ce cluster |
443 |
TCP/https |
Téléchargez des images Docker à partir de registres Docker publics. |
|
Poste de travail administrateur |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com URL *.googleapis.com requise pour les services activés pour les clusters d'administrateur ou d'utilisateur Adresses IP virtuelles des serveurs d'API Kubernetes des clusters d'utilisateur Adresse IP virtuelle du serveur d'API Kubernetes du cluster d'utilisateur API vCenter Server API F5 BIG-IP |
443 |
TCP/https |
Vérifications préliminaires (validation). Lorsque vous créez, mettez à jour, mettez à niveau ou supprimez des clusters à l'aide de |
|
Poste de travail administrateur |
32768- 60999 |
API du serveur vCenter API F5 BIG-IP |
443 |
TCP/https |
Créer le cluster d'administrateur. Créer un cluster d'utilisateur. |
|
Poste de travail administrateur |
32768- 60999 |
Adresses IP ESXi VMkernel (mgt) des hôtes du cluster cible |
443 |
TCP/https |
Le poste de travail d'administrateur importe le fichier OVA dans le datastore via les hôtes ESXi. |
|
Poste de travail administrateur |
32768- 60999 |
Adresse IP virtuelle du serveur d'API Kubernetes du cluster d'administrateur Adresses IP virtuelles des serveurs d'API Kubernetes des clusters d'utilisateurs |
443 |
TCP/https |
Créer le cluster d'administrateur. Mise à jour du cluster d'administrateur Créer un cluster d'utilisateur. Mise à jour du cluster d'utilisateur. Suppression de cluster d'utilisateur. |
|
Poste de travail administrateur |
32768- 60999 |
Nœud de plan de contrôle et nœuds de calcul du cluster d'administrateur |
443 |
TCP/https |
Créer le cluster d'administrateur. Mises à jour du plan de contrôle. |
|
Poste de travail administrateur |
32768- 60999 |
Tous les nœuds de cluster d'administrateur et tous les nœuds de cluster d'utilisateur |
443 |
TCP/https |
Validation réseau dans le cadre de la commande |
|
Poste de travail administrateur |
32768- 60999 |
Adresse IP virtuelle de l'entrée Istio du cluster d'administrateur Adresse IP virtuelle de l'entrée Istio des clusters d'utilisateurs |
443 |
TCP/https |
Validation réseau dans le cadre de la commande |
|
Poste de travail administrateur |
32768- 60999 |
oauth2.googleapis.com logging.googleapis.com monitoring.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
Accès à Cloud Logging et Monitoring. |
|
Poste de travail administrateur |
32768- 60999 |
Adresses IP des VM d'équilibrage de charge Seesaw dans les clusters d'administrateur et d'utilisateur Adresses IP des équilibreurs de charge Seesaw dans les clusters d'administrateur et d'utilisateur |
20256, 20258 |
TCP/http/gRPC |
Vérification de l'état des équilibreurs de charge. Uniquement nécessaire si vous utilisez Bundled LB Seesaw. |
|
Poste de travail administrateur |
32768- 60999 |
Adresse IP du nœud de plan de contrôle du cluster |
22 |
TCP |
Obligatoire si vous avez besoin d'un accès SSH depuis le poste de travail d'administrateur vers le plan de contrôle du cluster d'administrateur. |
| Poste de travail administrateur | 32768- 60999 | releases.hashicorp.com | 443 | TCP/https | Facultatif. Reportez-vous à la note 3 après la liste des URL à ajouter à la liste d'autorisation. |
|
Adresses IP des VM d'équilibrage de charge |
32768- 60999 |
Adresses IP des nœuds du cluster correspondant |
10256 : vérification de l'état des nœuds |
TCP/http |
Vérification de l'état du nœud. healthCheckNodePort est destiné aux services dont le paramètre "externalTrafficPolicy" est défini sur "Local". Uniquement nécessaire si vous utilisez Bundled LB Seesaw. |
|
Adresse IP automatique F5 |
1024 - 65535 |
Tous les nœuds de clusters d'administrateur et de clusters d'utilisateur |
30000 - 32767 |
tous |
Pour le trafic de plan de données dont F5 BIG-IP équilibre la charge via une adresse IP virtuelle de serveur virtuel sur les ports de nœud sur les nœuds de cluster Kubernetes. En règle générale, l'adresse IP automatique F5 se trouve sur le même réseau/sous-réseau que les nœuds du cluster Kubernetes. |