Cloud Service Mesh y Traffic Director ahora son Cloud Service Mesh. Para obtener más información, consulta la información general sobre Cloud Service Mesh.

Esta página se ha traducido con Cloud Translation API.

Abrir puertos en un clúster privado

Si vas a instalar Cloud Service Mesh en un clúster privado, debes abrir el puerto 15017 en el firewall para que funcionen los webhooks que se usan con la inyección automática de sidecar y la validación de la configuración.

En los siguientes pasos se describe cómo añadir una regla de cortafuegos para incluir los nuevos puertos que quieras abrir.

Busca el intervalo de origen (master-ipv4-cidr) y los destinos del clúster. En el siguiente comando, sustituye CLUSTER_NAME por el nombre de tu clúster:

gcloud compute firewall-rules list \
    --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

Crea la regla de cortafuegos. Elige uno de los siguientes comandos y sustituye CLUSTER_NAME por el nombre del clúster del comando anterior.
- Para habilitar la inyección automática, ejecuta el siguiente comando para abrir el puerto 15017:
```
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15017 \
  --target-tags TARGET
```
  Haz los cambios siguientes:
  - CLUSTER_NAME: el nombre de tu clúster
  - CONTROL_PLANE_RANGE: el intervalo de direcciones IP del plano de control del clúster (masterIpv4CidrBlock) que has recogido anteriormente.
  - TARGET: el valor de destino (Targets) que has recogido anteriormente.
  Nota: Para añadir una regla de cortafuegos a una VPC compartida, añade las siguientes marcas al comando:
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  Para obtener más información sobre la VPC compartida, consulta el artículo Configurar clústeres con una VPC compartida.
- Si también quieres habilitar los comandos istioctl version y istioctl ps, ejecuta el siguiente comando para abrir los puertos 15014 y 8080:
```
gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15014,tcp:8080 \
  --target-tags TARGET
```
  Haz los cambios siguientes:
  - CLUSTER_NAME: el nombre de tu clúster
  - CONTROL_PLANE_RANGE: el intervalo de direcciones IP del plano de control del clúster (masterIpv4CidrBlock) que has recogido anteriormente.
  - TARGET: el valor de destino (Targets) que has recogido anteriormente.
  Nota: Para añadir una regla de cortafuegos a una VPC compartida, añade las siguientes marcas al comando:
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  Para obtener más información sobre la VPC compartida, consulta el artículo Configurar clústeres con una VPC compartida.