Apertura delle porte su un cluster privato

Se stai installando Cloud Service Mesh in un cluster privato, devi aprire la porta 15017 nella firewall per far funzionare i webhook utilizzati con l'iniezione automatica dei sidecar (iniezione automatica) e la convalida della configurazione.

I passaggi riportati di seguito descrivono come aggiungere una regola firewall per includere le nuove porte che vuoi aprire.

  1. Trova l'intervallo di origine (master-ipv4-cidr) e i target del cluster. Nel comando seguente, sostituisci CLUSTER_NAME con il nome del tuo cluster:

    gcloud compute firewall-rules list \
        --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
        --format 'table(
            name,
            network,
            direction,
            sourceRanges.list():label=SRC_RANGES,
            allowed[].map().firewall_rule().list():label=ALLOW,
            targetTags.list():label=TARGET_TAGS
        )'
    
  2. Crea la regola firewall. Scegli tra i seguenti comandi e sostituisci CLUSTER_NAME con il nome del cluster del comando precedente.

    • Per attivare l'iniezione automatica, esegui il seguente comando per aprire la porta 15017:

      gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
        --action ALLOW \
        --direction INGRESS \
        --source-ranges CONTROL_PLANE_RANGE \
        --rules tcp:15017 \
        --target-tags TARGET
      

      Sostituisci quanto segue:

      • CLUSTER_NAME: il nome del cluster
      • CONTROL_PLANE_RANGE: l'intervallo di indirizzi IP (masterIpv4CidrBlock) del piano di controllo del cluster che hai raccolto in precedenza.
      • TARGET: il valore target (Targets) raccolto in precedenza.
    • Se vuoi attivare anche i comandi istioctl version e istioctl ps, esegui il seguente comando per aprire le porte 15014 e 8080:

      gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
        --action ALLOW \
        --direction INGRESS \
        --source-ranges CONTROL_PLANE_RANGE \
        --rules tcp:15014,tcp:8080 \
        --target-tags TARGET
      

      Sostituisci quanto segue:

      • CLUSTER_NAME: il nome del cluster
      • CONTROL_PLANE_RANGE: l'intervallo di indirizzi IP (masterIpv4CidrBlock) del piano di controllo del cluster che hai raccolto in precedenza.
      • TARGET: il valore target (Targets) raccolto in precedenza.