Apertura delle porte su un cluster privato

Se stai installando Cloud Service Mesh in un cluster privato, devi aprire la porta 15017 nella firewall per far funzionare gli webhook utilizzati con l'iniezione automatica dei sidecar (iniezione automatica) e la convalida della configurazione.

I passaggi riportati di seguito descrivono come aggiungere una regola firewall per includere le nuove porte che vuoi aprire.

  1. Trova l'intervallo di origine (master-ipv4-cidr) e le destinazioni del cluster. Nel comando seguente, sostituisci CLUSTER_NAME con il nome del tuo cluster:

    gcloud compute firewall-rules list \
        --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
        --format 'table(
            name,
            network,
            direction,
            sourceRanges.list():label=SRC_RANGES,
            allowed[].map().firewall_rule().list():label=ALLOW,
            targetTags.list():label=TARGET_TAGS
        )'
    
  2. Crea la regola firewall. Scegli tra i seguenti comandi e sostituisci CLUSTER_NAME con il nome del cluster del comando precedente.

    • Per abilitare l'inserimento automatico, esegui questo comando per porta aperta 15017:

      gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
        --action ALLOW \
        --direction INGRESS \
        --source-ranges CONTROL_PLANE_RANGE \
        --rules tcp:15017 \
        --target-tags TARGET
      

      Sostituisci quanto segue:

      • CLUSTER_NAME: il nome del cluster
      • CONTROL_PLANE_RANGE: l'intervallo di indirizzi IP (masterIpv4CidrBlock) del piano di controllo del cluster che hai raccolto in precedenza.
      • TARGET: il valore target (Targets) raccolto in precedenza.
    • Se vuoi attivare anche i comandi istioctl version e istioctl ps, esegui il seguente comando per aprire le porte 15014 e 8080:

      gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
        --action ALLOW \
        --direction INGRESS \
        --source-ranges CONTROL_PLANE_RANGE \
        --rules tcp:15014,tcp:8080 \
        --target-tags TARGET
      

      Sostituisci quanto segue:

      • CLUSTER_NAME: il nome del cluster
      • CONTROL_PLANE_RANGE: l'intervallo di indirizzi IP (masterIpv4CidrBlock) del piano di controllo del cluster che hai raccolto in precedenza.
      • TARGET: il valore target (Targets) raccolto in precedenza.