在私人叢集上開啟通訊埠

如果您要在私人叢集中安裝叢集內的 Cloud Service Mesh，就必須在防火牆中開啟 15017 通訊埠，才能取得用於自動側邊車注入 (自動注入) 和設定驗證的 webhook。

下列步驟說明如何新增防火牆規則，納入您要開啟的新通訊埠。

1. 找出叢集的來源範圍 (master-ipv4-cidr) 和目標。在下列指令中，將 CLUSTER_NAME 替換為叢集名稱：

   gcloud compute firewall-rules list \
       --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
       --format 'table(
           name,
           network,
           direction,
           sourceRanges.list():label=SRC_RANGES,
           allowed[].map().firewall_rule().list():label=ALLOW,
           targetTags.list():label=TARGET_TAGS
       )'
   

2. 建立防火牆規則。請從下列指令中選擇一個，並將 CLUSTER_NAME 替換為上一個指令中的叢集名稱。

   • 如要啟用自動注入功能，請執行下列指令以開啟通訊埠 15017：

     gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
       --action ALLOW \
       --direction INGRESS \
       --source-ranges CONTROL_PLANE_RANGE \
       --rules tcp:15017 \
       --target-tags TARGET
     

     更改下列內容：

     • CLUSTER_NAME：叢集名稱
     • CONTROL_PLANE_RANGE：您先前收集到的叢集控制平面的 IP 位址範圍 (masterIpv4CidrBlock)。
     • TARGET：您先前收集的目標 (Targets) 值。

   • 如果您也想啟用 istioctl version 和 istioctl ps 指令，請執行下列指令，開啟 15014 和 8080 通訊埠：

     gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
       --action ALLOW \
       --direction INGRESS \
       --source-ranges CONTROL_PLANE_RANGE \
       --rules tcp:15014,tcp:8080 \
       --target-tags TARGET
     

     更改下列內容：

     • CLUSTER_NAME：叢集名稱
     • CONTROL_PLANE_RANGE：您先前收集到的叢集控制平面的 IP 位址範圍 (masterIpv4CidrBlock)。
     • TARGET：您先前收集的目標 (Targets) 值。