Ouvrir des ports sur un cluster privé
Si vous installez Cloud Service Mesh dans un cluster privé, vous devez ouvrir le port 15017 dans le pare-feu pour que les webhooks utilisés avec l'injection side-car automatique (auto-injection) et la validation de la configuration fonctionnent correctement.
Les étapes suivantes décrivent comment ajouter une règle de pare-feu pour inclure les nouveaux ports que vous souhaitez ouvrir.
Recherchez la plage source (
master-ipv4-cidr
) et les cibles du cluster. Dans la commande suivante, remplacezCLUSTER_NAME
par le nom de votre cluster :gcloud compute firewall-rules list \ --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \ --format 'table( name, network, direction, sourceRanges.list():label=SRC_RANGES, allowed[].map().firewall_rule().list():label=ALLOW, targetTags.list():label=TARGET_TAGS )'
Créez la règle de pare-feu. Choisissez l'une des commandes suivantes et remplacez
CLUSTER_NAME
par le nom du cluster de la commande précédente.Pour activer l'injection automatique, exécutez la commande suivante pour ouvrir le port 15017:
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15017 \ --target-tags TARGET
Remplacez les éléments suivants :
CLUSTER_NAME
: nom du clusterCONTROL_PLANE_RANGE
: plage d'adresses IP du plan de contrôle du cluster (masterIpv4CidrBlock
) que vous avez collectée précédemment.TARGET
: valeur cible (Targets
) que vous avez collectée précédemment.
Si vous souhaitez également activer les commandes
istioctl version
etistioctl ps
, exécutez la commande suivante pour ouvrir les ports 15014 et 8080:gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15014,tcp:8080 \ --target-tags TARGET
Remplacez les éléments suivants :
CLUSTER_NAME
: nom du clusterCONTROL_PLANE_RANGE
: plage d'adresses IP du plan de contrôle du cluster (masterIpv4CidrBlock
) que vous avez collectée précédemment.TARGET
: valeur cible (Targets
) que vous avez collectée précédemment.