Apertura delle porte su un cluster privato
Se stai installando Cloud Service Mesh in un cluster privato, devi aprire la porta 15017 nella firewall per far funzionare gli webhook utilizzati con l'iniezione automatica dei sidecar (iniezione automatica) e la convalida della configurazione.
I passaggi riportati di seguito descrivono come aggiungere una regola firewall per includere le nuove porte che vuoi aprire.
Trova l'intervallo di origine (
master-ipv4-cidr
) e le destinazioni del cluster. Nel comando seguente, sostituisciCLUSTER_NAME
con il nome del tuo cluster:gcloud compute firewall-rules list \ --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \ --format 'table( name, network, direction, sourceRanges.list():label=SRC_RANGES, allowed[].map().firewall_rule().list():label=ALLOW, targetTags.list():label=TARGET_TAGS )'
Crea la regola firewall. Scegli tra i seguenti comandi e sostituisci
CLUSTER_NAME
con il nome del cluster del comando precedente.Per abilitare l'inserimento automatico, esegui questo comando per porta aperta 15017:
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15017 \ --target-tags TARGET
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del clusterCONTROL_PLANE_RANGE
: l'intervallo di indirizzi IP (masterIpv4CidrBlock
) del piano di controllo del cluster che hai raccolto in precedenza.TARGET
: il valore target (Targets
) raccolto in precedenza.
Se vuoi attivare anche i comandi
istioctl version
eistioctl ps
, esegui il seguente comando per aprire le porte 15014 e 8080:gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15014,tcp:8080 \ --target-tags TARGET
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del clusterCONTROL_PLANE_RANGE
: l'intervallo di indirizzi IP (masterIpv4CidrBlock
) del piano di controllo del cluster che hai raccolto in precedenza.TARGET
: il valore target (Targets
) raccolto in precedenza.