限定公開クラスタでポートを開く
限定公開クラスタにクラスタ内 Anthos Service Mesh をインストールする場合は、ファイアウォールでポート 15017 を開き、自動サイドカー インジェクション(自動インジェクション)と構成検証で使用する Webhook が適切に機能する必要があります。
以下の手順では、ファイアウォール ルールを追加して新しいポートを開く方法について説明します。
クラスタのソース範囲(
master-ipv4-cidr
)とターゲットを確認します。次のコマンドで、CLUSTER_NAME
をクラスタの名前で置き換えます。gcloud compute firewall-rules list \ --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \ --format 'table( name, network, direction, sourceRanges.list():label=SRC_RANGES, allowed[].map().firewall_rule().list():label=ALLOW, targetTags.list():label=TARGET_TAGS )'
ファイアウォール ルールを作成します。以下のコマンドから選択して実行します。
CLUSTER_NAME
は、前のコマンドで使用したクラスタの名前に置き換えます。自動挿入を有効にするには、次のコマンドを実行してポート 15017 を開きます。
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15017 \ --target-tags TARGET
次のように置き換えます。
CLUSTER_NAME
: クラスタの名前CONTROL_PLANE_RANGE
: 前の手順で確認したクラスタ コントロール プレーンの IP アドレス範囲(masterIpv4CidrBlock
)。TARGET
: 前の手順で確認したターゲット(Targets
)の値。
istioctl version
コマンドとistioctl ps
コマンドも有効にする場合は、次のコマンドを実行してポート 15014 とポート 8080 を開きます。gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15014,tcp:8080 \ --target-tags TARGET
次のように置き換えます。
CLUSTER_NAME
: クラスタの名前CONTROL_PLANE_RANGE
: 前の手順で確認したクラスタ コントロール プレーンの IP アドレス範囲(masterIpv4CidrBlock
)。TARGET
: 前の手順で確認したターゲット(Targets
)の値。