限定公開クラスタでポートを開く
限定公開クラスタにクラスタ内 Cloud Service Mesh をインストールする場合は、ファイアウォールでポート 15017 を開き、自動サイドカー インジェクション(自動インジェクション)と構成検証で使用する Webhook が適切に機能する必要があります。
以下の手順では、開く必要がある新しいポートを指定するファイアウォール ルールの追加方法について説明します。
クラスタのソース範囲(
master-ipv4-cidr
)とターゲットを確認します。次のコマンドで、CLUSTER_NAME
をクラスタの名前で置き換えます。gcloud compute firewall-rules list \ --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \ --format 'table( name, network, direction, sourceRanges.list():label=SRC_RANGES, allowed[].map().firewall_rule().list():label=ALLOW, targetTags.list():label=TARGET_TAGS )'
ファイアウォール ルールを作成します。 次のコマンドから選択します。
CLUSTER_NAME
は、前のコマンドのクラスタの名前に置き換えます。自動挿入を有効にするには、次のコマンドを実行してポート 15017 を開きます。
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15017 \ --target-tags TARGET
以下を置き換えます。
CLUSTER_NAME
: クラスタの名前CONTROL_PLANE_RANGE
: 前の手順で確認したクラスタ コントロール プレーンの IP アドレス範囲(masterIpv4CidrBlock
)。TARGET
: 以前に収集した目標(Targets
)値。
istioctl version
コマンドとistioctl ps
コマンドも有効にする場合は、次のコマンドを実行してポート 15014 とポート 8080 を開きます。gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15014,tcp:8080 \ --target-tags TARGET
以下を置き換えます。
CLUSTER_NAME
: クラスタの名前CONTROL_PLANE_RANGE
: 前の手順で確認したクラスタ コントロール プレーンの IP アドレス範囲(masterIpv4CidrBlock
)。TARGET
: 以前に収集した目標(Targets
)値。