Anthos Service Mesh 1.10 문서를 보고 있습니다. 최신 문서를 보거나 사용 가능한 다른 버전을 선택합니다.

비공개 클러스터에서 포트 열기

비공개 클러스터에 Anthos Service Mesh를 설치하는 경우 자동 사이드카 삽입(자동 삽입)에 사용되는 웹훅 및 구성 검증을 작동하기 위해 방화벽에서 포트 15017을 열어야 합니다. Anthos Service Mesh 버전에 따라 istioctl versionistioctl ps 명령어가 제대로 작동하도록 추가 포트를 열어야 할 수도 있습니다.

  • 1.7.3: istioctl version 명령어는 포트 15014를 필요로 하며 istioctl ps는 포트 8080을 필요로 합니다. 15014와 8080을 모두 열면 istioctl version에서 더 신속하게 응답을 반환합니다.
  • 1.8.1: 이들 명령어를 위해 포트를 열 필요는 없지만 15014를 열면 istioctl versionistioctl ps가 더 신속하게 응답을 반환합니다.

방화벽 규칙을 추가하거나 비공개 클러스터를 만들 때 자동으로 생성된 방화벽 규칙을 업데이트할 수 있습니다. 다음 단계에서는 방화벽 규칙을 업데이트하는 방법을 설명합니다. update 명령어는 기존 방화벽 규칙을 대체하므로 기본 포트 443(HTTPS) 및 10250(kubelet)과 열려고 하는 새 포트를 포함해야 합니다.

  1. 클러스터의 소스 범위(master-ipv4-cidr)를 찾습니다. 다음 명령어에서 CLUSTER_NAME을 클러스터 이름으로 바꿉니다.

    gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
  2. 방화벽 규칙을 업데이트합니다. 다음 명령어 중 하나를 선택하고 FIREWALL_RULE_NAME를 이전 명령어의 출력에서 방화벽 규칙의 이름으로 바꿉니다.

    • 자동 삽입만 사용 설정하려면 다음 명령어를 실행하여 포트 15017을 엽니다.

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
    • 자동 삽입과 istioctl versionistioctl ps 명령어를 사용 설정하려면 다음 명령어를 실행하여 포트 15017, 15014, 8080을 엽니다.

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080