Si instalas Anthos Service Mesh en un clúster privado, debes abrir el puerto 15017 en el firewall a fin de que los webhooks que se usan para la inyección automática de sidecar (inserción automática) y la validación de configuración funcionen. Según tu versión de Anthos Service Mesh, es posible que debas abrir puertos adicionales para obtener los comandos istioctl version y istioctl ps a fin de que funcionen correctamente:
- 1.7.3: El comando
istioctl versionrequiere un puerto 15014 yistioctl psrequiere el puerto 8080. Si abres 15014 y 8080,istioctl versionmuestra una respuesta más rápido. - 1.8.1: No necesitas abrir ningún puerto para estos comandos, pero si abres el puerto 15014, permitirá que
istioctl versionyistioctl psmuestren una respuesta más rápido.
Puedes agregar una regla de firewall o actualizar la que se creó de forma automática cuando creaste el clúster privado, de la siguiente manera: En los siguientes pasos, se describe cómo actualizar la regla de firewall. El comando de actualización reemplaza la regla de firewall existente, por lo que debes incluir los puertos predeterminados 443 (HTTPS) y 10250 (kubelet), así como los nuevos puertos que deseas abrir.
Busca el rango de origen (
master-ipv4-cidr) del clúster. En el siguiente comando, reemplazaCLUSTER_NAMEpor el nombre del clúster:gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
Actualiza la regla de firewall. Elige uno de los siguientes comandos y reemplaza
FIREWALL_RULE_NAMEpor el nombre de la regla de firewall del resultado del comando anterior.Si solo deseas habilitar la inyección automática, ejecuta el siguiente comando para abrir el puerto 15017:
gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
Si deseas habilitar la inyección automática y los comandos
istioctl versionyistioctl ps, ejecuta el siguiente comando para abrir los puertos 15017, 15014 y 8080:gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080