限定公開クラスタに Anthos Service Mesh をインストールする場合は、ファイアウォールでポート 15017 を開き、自動サイドカー インジェクション(自動インジェクション)と構成検証で使用する Webhook が適切に機能する必要があります。Anthos Service Mesh のバージョンによっては、istioctl version
コマンドと istioctl ps
コマンドを正常に機能させるために、追加のポートを開くことが必要になる場合があります。
- 1.7.3:
istioctl version
コマンドにはポート 15014 が必要です。istioctl ps
にはポート 8080 が必要です。15014 と 8080 の両方を開くと、istioctl version
はレスポンスをより迅速に返すようになります。 - 1.8.1: これらのコマンドでポートを開く必要はありませんが、15014 を開くと
istioctl version
とistioctl ps
はレスポンスをより迅速に返すようになります。
ファイアウォール ルールを追加するか、限定公開クラスタを作成したときに自動的に作成されたファイアウォール ルールを更新します。次の手順では、ファイアウォール ルールを更新する方法について説明します。update コマンドは既存のファイアウォール ルールを置き換えるため、デフォルト ポート 443(HTTPS
)と 10250(kubelet
)および開く新しいポートを含める必要があります。
クラスタのソース範囲(
master-ipv4-cidr
)を確認します。次のコマンドで、CLUSTER_NAME
をクラスタの名前で置き換えます。gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
ファイアウォール ルールを更新します。次のいずれかのコマンドを選択し、
FIREWALL_RULE_NAME
を前のコマンド出力のファイアウォール ルールの名前に置き換えます。自動挿入を有効にするだけの場合は、次のコマンドを実行してポート 15017 を開きます。
gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
自動挿入および
istioctl version
コマンドとistioctl ps
コマンドを有効にする場合は、次のコマンドを実行してポート 15017、15014、8080 を開きます。gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080