비공개 클러스터에 Anthos Service Mesh를 설치하는 경우 자동 사이드카 삽입(자동 삽입)에 사용되는 웹훅 및 구성 검증을 작동하기 위해 방화벽에서 포트 15017을 열어야 합니다. Anthos Service Mesh 버전에 따라 istioctl version 및 istioctl ps 명령어가 제대로 작동하도록 추가 포트를 열어야 할 수도 있습니다.
- 1.7.3:
istioctl version명령어는 포트 15014를 필요로 하며istioctl ps는 포트 8080을 필요로 합니다. 15014와 8080을 모두 열면istioctl version에서 더 신속하게 응답을 반환합니다. - 1.8.1: 이들 명령어를 위해 포트를 열 필요는 없지만 15014를 열면
istioctl version및istioctl ps가 더 신속하게 응답을 반환합니다.
방화벽 규칙을 추가하거나 비공개 클러스터를 만들 때 자동으로 생성된 방화벽 규칙을 업데이트할 수 있습니다. 다음 단계에서는 방화벽 규칙을 업데이트하는 방법을 설명합니다. update 명령어는 기존 방화벽 규칙을 대체하므로 기본 포트 443(HTTPS) 및 10250(kubelet)과 열려고 하는 새 포트를 포함해야 합니다.
클러스터의 소스 범위(
master-ipv4-cidr)를 찾습니다. 다음 명령어에서CLUSTER_NAME을 클러스터 이름으로 바꿉니다.gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
방화벽 규칙을 업데이트합니다. 다음 명령어 중 하나를 선택하고
FIREWALL_RULE_NAME를 이전 명령어의 출력에서 방화벽 규칙의 이름으로 바꿉니다.자동 삽입만 사용 설정하려면 다음 명령어를 실행하여 포트 15017을 엽니다.
gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
자동 삽입과
istioctl version및istioctl ps명령어를 사용 설정하려면 다음 명령어를 실행하여 포트 15017, 15014, 8080을 엽니다.gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080