Apertura delle porte su un cluster privato

Se stai installando Anthos Service Mesh nel cluster su un cluster privato, devi aprire la porta 15017 nel firewall per far funzionare i webhook utilizzati con l'inserimento automatico di sidecar (inserimento automatico) e la convalida della configurazione.

I passaggi seguenti descrivono come aggiungere una regola firewall per includere le nuove porte da aprire.

Trova l'intervallo di origine (master-ipv4-cidr) e le destinazioni del cluster. Nel seguente comando, sostituisci CLUSTER_NAME con il nome del tuo cluster:

gcloud compute firewall-rules list \
    --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

Crea la regola firewall. Scegli uno dei seguenti comandi e sostituisci CLUSTER_NAME con il nome del cluster del comando precedente.
- Per abilitare l'inserimento automatico, esegui questo comando per aprire la porta 15017:
```
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15017 \
  --target-tags TARGET
```
  Sostituisci quanto segue:
  - CLUSTER_NAME: il nome del cluster
  - CONTROL_PLANE_RANGE: l'intervallo di indirizzi IP (masterIpv4CidrBlock) del piano di controllo del cluster che hai raccolto in precedenza.
  - TARGET: il valore target (Targets) raccolto in precedenza.
  Nota: per aggiungere una regola firewall per un VPC condiviso, aggiungi i seguenti flag al comando:
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  Per ulteriori informazioni sul VPC condiviso, consulta Configurazione dei cluster con un VPC condiviso.
- Se vuoi abilitare anche i comandi istioctl version e istioctl ps, esegui questo comando per aprire le porte 15014 e 8080:
```
gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15014,tcp:8080 \
  --target-tags TARGET
```
  Sostituisci quanto segue:
  - CLUSTER_NAME: il nome del cluster
  - CONTROL_PLANE_RANGE: l'intervallo di indirizzi IP (masterIpv4CidrBlock) del piano di controllo del cluster che hai raccolto in precedenza.
  - TARGET: il valore target (Targets) raccolto in precedenza.
  Nota: per aggiungere una regola firewall per un VPC condiviso, aggiungi i seguenti flag al comando:
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  Per ulteriori informazioni sul VPC condiviso, consulta Configurazione dei cluster con un VPC condiviso.