限定公開クラスタでポートを開く

限定公開クラスタに Anthos Service Mesh をインストールする場合は、ファイアウォールでポート 15017 を開き、自動サイドカー インジェクション(自動インジェクション)と構成検証で使用する Webhook が適切に機能する必要があります。Anthos Service Mesh のバージョンによっては、istioctl version コマンドと istioctl ps コマンドを正常に機能させるために、追加のポートを開くことが必要になる場合があります。

  • 1.7.3: istioctl version コマンドにはポート 15014 が必要です。istioctl ps にはポート 8080 が必要です。15014 と 8080 の両方を開くと、istioctl version はレスポンスをより迅速に返すようになります。
  • 1.8.1: これらのコマンドでポートを開く必要はありませんが、15014 を開くと istioctl versionistioctl ps はレスポンスをより迅速に返すようになります。

ファイアウォール ルールを追加するか、限定公開クラスタを作成したときに自動的に作成されたファイアウォール ルールを更新します。次の手順では、ファイアウォール ルールを更新する方法について説明します。update コマンドは既存のファイアウォール ルールを置き換えるため、デフォルト ポート 443(HTTPS)と 10250(kubelet)および開く新しいポートを含める必要があります。

  1. クラスタのソース範囲(master-ipv4-cidr)を確認します。次のコマンドで、CLUSTER_NAME をクラスタの名前で置き換えます。

    gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
  2. ファイアウォール ルールを更新します。次のいずれかのコマンドを選択し、FIREWALL_RULE_NAME を前のコマンド出力のファイアウォール ルールの名前に置き換えます。

    • 自動挿入を有効にするだけの場合は、次のコマンドを実行してポート 15017 を開きます。

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
    • 自動挿入および istioctl version コマンドと istioctl ps コマンドを有効にする場合は、次のコマンドを実行してポート 15017、15014、8080 を開きます。

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080