限定公開クラスタでポートを開く

限定公開クラスタにクラスタ内 Anthos Service Mesh をインストールする場合は、ファイアウォールでポート 15017 を開き、自動サイドカー インジェクション(自動インジェクション)と構成検証で使用する Webhook が適切に機能する必要があります。

以下の手順では、ファイアウォール ルールを追加して新しいポートを開く方法について説明します。

  1. クラスタのソース範囲(master-ipv4-cidr)とターゲットを確認します。次のコマンドで、CLUSTER_NAME をクラスタの名前で置き換えます。

    gcloud compute firewall-rules list \
        --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
        --format 'table(
            name,
            network,
            direction,
            sourceRanges.list():label=SRC_RANGES,
            allowed[].map().firewall_rule().list():label=ALLOW,
            targetTags.list():label=TARGET_TAGS
        )'
    
  2. ファイアウォール ルールを作成します。以下のコマンドから選択して実行します。CLUSTER_NAME は、前のコマンドで使用したクラスタの名前に置き換えます。

    • 自動挿入を有効にするには、次のコマンドを実行してポート 15017 を開きます。

      gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
        --action ALLOW \
        --direction INGRESS \
        --source-ranges CONTROL_PLANE_RANGE \
        --rules tcp:15017 \
        --target-tags TARGET
      

      次のように置き換えます。

      • CLUSTER_NAME: クラスタの名前
      • CONTROL_PLANE_RANGE: 前の手順で確認したクラスタ コントロール プレーンの IP アドレス範囲(masterIpv4CidrBlock)。
      • TARGET: 前の手順で確認したターゲット(Targets)の値。
    • istioctl version コマンドと istioctl ps コマンドも有効にする場合は、次のコマンドを実行してポート 15014 とポート 8080 を開きます。

      gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
        --action ALLOW \
        --direction INGRESS \
        --source-ranges CONTROL_PLANE_RANGE \
        --rules tcp:15014,tcp:8080 \
        --target-tags TARGET
      

      次のように置き換えます。

      • CLUSTER_NAME: クラスタの名前
      • CONTROL_PLANE_RANGE: 前の手順で確認したクラスタ コントロール プレーンの IP アドレス範囲(masterIpv4CidrBlock)。
      • TARGET: 前の手順で確認したターゲット(Targets)の値。