Ports in einem privaten Cluster öffnen

Wenn Sie Anthos Service Mesh in einem privaten Cluster installieren, müssen Sie Port 15017 in der Firewall öffnen, damit die Webhooks mit automatischer Sidecar-Einfügung (automatisches Einfügen) und die Konfigurationsvalidierung funktionieren. Je nach Version von Anthos Service Mesh müssen Sie möglicherweise zusätzliche Ports öffnen, damit die Befehle istioctl version und istioctl ps ordnungsgemäß funktionieren:

  • 1.7.3: Der Befehl istioctl version erfordert Port 15014 und istioctl ps erfordert Port 8080. Wenn Sie sowohl 15014 als auch 8080 öffnen, gibt istioctl version schneller eine Antwort zurück.
  • 1.8.1: Für diese Befehle müssen Sie keine Ports öffnen. Wenn Sie jedoch 15014 öffnen, geben istioctl version und istioctl ps schneller eine Antwort zurück.

Sie können entweder eine Firewallregel hinzufügen oder die Firewallregel aktualisieren, die beim Erstellen des privaten Clusters automatisch erstellt wurde: In den folgenden Schritten wird beschrieben, wie Sie die Firewallregel aktualisieren. Der Aktualisierungsbefehl ersetzt die vorhandene Firewallregel. Sie müssen also die Standardports 443 (HTTPS) und 10250 (kubelet) sowie die neuen Ports, die Sie öffnen möchten, einbeziehen.

  1. Suchen Sie den Quellbereich (master-ipv4-cidr) des Clusters. Ersetzen Sie im folgenden Befehl CLUSTER_NAME durch den Namen des Clusters:

    gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"

  2. Aktualisieren Sie die Firewallregel. Wählen Sie einen der folgenden Befehle aus und ersetzen Sie FIREWALL_RULE_NAME durch den Namen der Firewallregel aus der Ausgabe des vorherigen Befehls.

    • Wenn Sie nur die automatische Einfügung aktivieren möchten, führen Sie den folgenden Befehl aus, um Port 15017 zu öffnen:

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017

    • Wenn Sie die automatische Einfügung und die Befehle istioctl version und istioctl ps aktivieren möchten, öffnen Sie mit dem folgenden Befehl die Ports 15017, 15014 und 8080:

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080