Abrir puertos en un clúster privado

Si instalas Anthos Service Mesh en clúster en un clúster privado, debes abrir el puerto 15017 en el firewall a fin de que los webhooks que se usan para la inyección automática de sidecar (inserción automática) y la validación de configuración funcionen.

En los siguientes pasos, se describe cómo agregar una regla de firewall para incluir los puertos nuevos que deseas abrir.

Busca el rango de origen (master-ipv4-cidr) y los destinos del clúster. En el siguiente comando, reemplaza CLUSTER_NAME por el nombre del clúster:

gcloud compute firewall-rules list \
    --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

Crea la regla de firewall. Elige entre los siguientes comandos y reemplaza CLUSTER_NAME por el nombre del clúster del comando anterior.
- A fin de habilitar la inserción automática, ejecuta el siguiente comando para abrir el puerto 15017:
```
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15017 \
  --target-tags TARGET
```
  Reemplaza lo siguiente:
  - CLUSTER_NAME: Es el nombre de tu clúster.
  - CONTROL_PLANE_RANGE: Es el rango de direcciones IP del plano de control del clúster (masterIpv4CidrBlock) que obtuviste en el paso anterior.
  - TARGET: Es el valor de destino (Targets) que recopilaste anteriormente.
  Nota: Para agregar una regla de firewall a una VPC compartida, agrega las siguientes marcas al comando:
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  Para obtener más información sobre la VPC compartida, consulta Configura clústeres con una VPC compartida.
- Si también quieres habilitar los comandos istioctl version y istioctl ps, ejecuta el siguiente comando para abrir los puertos 15014 y 8080:
```
gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15014,tcp:8080 \
  --target-tags TARGET
```
  Reemplaza lo siguiente:
  - CLUSTER_NAME: Es el nombre de tu clúster.
  - CONTROL_PLANE_RANGE: Es el rango de direcciones IP del plano de control del clúster (masterIpv4CidrBlock) que obtuviste en el paso anterior.
  - TARGET: Es el valor de destino (Targets) que recopilaste anteriormente.
  Nota: Para agregar una regla de firewall a una VPC compartida, agrega las siguientes marcas al comando:
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  Para obtener más información sobre la VPC compartida, consulta Configura clústeres con una VPC compartida.