Ouvrir des ports sur un cluster privé

Si vous installez Anthos Service Mesh sur un cluster privé, vous devez ouvrir le port 15017 dans le pare-feu pour que les webhooks utilisés pour l'injection side-car automatique (auto-injection) et la validation de la configuration fonctionnent correctement. Selon votre version d'Anthos Service Mesh, vous devrez peut-être ouvrir des ports supplémentaires pour que les commandes istioctl version et istioctl ps fonctionnent correctement :

  • 1.7.3 : les commandes istioctl version et istioctl ps nécessitent respectivement les ports 15014 et 8080. L'ouverture simultanée des ports 15014 et 8080 permet à istioctl version de renvoyer une réponse plus rapidement.
  • 1.8.1 : vous n'avez pas besoin d'ouvrir de ports pour ces commandes, mais l'ouverture du port 15014 permet à istioctl version et istioctl ps de renvoyer une réponse plus rapidement.

Vous pouvez ajouter une règle de pare-feu ou mettre à jour la règle de pare-feu créée automatiquement lors de la création du cluster privé. Les étapes suivantes décrivent comment mettre à jour la règle de pare-feu. La commande de mise à jour remplace la règle de pare-feu existante. Vous devez donc inclure les ports 443 (HTTPS) et 10250 (kubelet) par défaut, ainsi que les nouveaux ports à ouvrir.

  1. Recherchez la plage source (master-ipv4-cidr) du cluster. Dans la commande suivante, remplacez CLUSTER_NAME par le nom de votre cluster :

    gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"

  2. Mettez à jour la règle de pare-feu. Choisissez l'une des commandes suivantes et remplacez FIREWALL_RULE_NAME par le nom de la règle de pare-feu figurant dans le résultat de la commande précédente.

    • Si vous souhaitez activer uniquement l'injection automatique, exécutez la commande suivante pour ouvrir le port 15017 :

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017

    • Si vous souhaitez activer l'injection automatique, ainsi que les commandes istioctl version et istioctl ps, exécutez la commande suivante pour ouvrir les ports 15017, 15014 et 8080 :

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080