Anthos Service Mesh y Traffic Director ahora son Cloud Service Mesh. Para obtener más información, consulta la descripción general de Cloud Service Mesh.

Abrir puertos en un clúster privado

Si instalas Anthos Service Mesh en clúster en un clúster privado, debes abrir el puerto 15017 en el firewall a fin de que los webhooks que se usan para la inyección automática de sidecar (inserción automática) y la validación de configuración funcionen.

En los siguientes pasos, se describe cómo agregar una regla de firewall para incluir los puertos nuevos que deseas abrir.

Busca el rango de origen (master-ipv4-cidr) y los destinos del clúster. En el siguiente comando, reemplaza CLUSTER_NAME por el nombre del clúster:

gcloud compute firewall-rules list \
    --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

Crea la regla de firewall. Elige entre los siguientes comandos y reemplaza CLUSTER_NAME por el nombre del clúster del comando anterior.
- A fin de habilitar la inserción automática, ejecuta el siguiente comando para abrir el puerto 15017:
```
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15017 \
  --target-tags TARGET
```
  Reemplaza lo siguiente:
  - CLUSTER_NAME: Es el nombre de tu clúster.
  - CONTROL_PLANE_RANGE: Es el rango de direcciones IP del plano de control del clúster (masterIpv4CidrBlock) que obtuviste en el paso anterior.
  - TARGET: Es el valor de destino (Targets) que recopilaste anteriormente.
  Nota: Para agregar una regla de firewall a una VPC compartida, agrega las siguientes marcas al comando:
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  Para obtener más información sobre la VPC compartida, consulta Configura clústeres con una VPC compartida.
- Si también quieres habilitar los comandos istioctl version y istioctl ps, ejecuta el siguiente comando para abrir los puertos 15014 y 8080:
```
gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15014,tcp:8080 \
  --target-tags TARGET
```
  Reemplaza lo siguiente:
  - CLUSTER_NAME: Es el nombre de tu clúster.
  - CONTROL_PLANE_RANGE: Es el rango de direcciones IP del plano de control del clúster (masterIpv4CidrBlock) que obtuviste en el paso anterior.
  - TARGET: Es el valor de destino (Targets) que recopilaste anteriormente.
  Nota: Para agregar una regla de firewall a una VPC compartida, agrega las siguientes marcas al comando:
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  Para obtener más información sobre la VPC compartida, consulta Configura clústeres con una VPC compartida.