Membuka port di cluster pribadi
Jika Anda menginstal Cloud Service Mesh dalam cluster di cluster pribadi, Anda harus membuka port 15017 di firewall agar webhook yang digunakan dengan injeksi sidecar otomatis (injeksi otomatis) dan validasi konfigurasi berfungsi.
Langkah-langkah berikut menjelaskan cara menambahkan aturan firewall untuk menyertakan port baru yang ingin Anda buka.
Temukan rentang sumber (
master-ipv4-cidr
) dan target cluster. Dalam perintah berikut, gantiCLUSTER_NAME
dengan nama cluster Anda:gcloud compute firewall-rules list \ --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \ --format 'table( name, network, direction, sourceRanges.list():label=SRC_RANGES, allowed[].map().firewall_rule().list():label=ALLOW, targetTags.list():label=TARGET_TAGS )'
Buat aturan firewall. Pilih dari perintah berikut dan ganti
CLUSTER_NAME
dengan nama cluster dari perintah sebelumnya.Untuk mengaktifkan injeksi otomatis, jalankan perintah berikut untuk membuka port 15017:
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15017 \ --target-tags TARGET
Ganti kode berikut:
CLUSTER_NAME
: nama cluster AndaCONTROL_PLANE_RANGE
: rentang alamat IP bidang kontrol cluster (masterIpv4CidrBlock
) yang Anda kumpulkan sebelumnya.TARGET
: nilai target (Targets
) yang Anda kumpulkan sebelumnya.
Jika Anda juga ingin mengaktifkan perintah
istioctl version
danistioctl ps
, jalankan perintah berikut untuk membuka port 15014, dan 8080:gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15014,tcp:8080 \ --target-tags TARGET
Ganti kode berikut:
CLUSTER_NAME
: nama cluster AndaCONTROL_PLANE_RANGE
: rentang alamat IP bidang kontrol cluster (masterIpv4CidrBlock
) yang Anda kumpulkan sebelumnya.TARGET
: nilai target (Targets
) yang Anda kumpulkan sebelumnya.