Se stai installando Anthos Service Mesh su un cluster privato, devi aprire la porta 15017 nel firewall affinché i webhook vengano utilizzati con l'inserimento automatico sidecar (inserimento automatico) e la convalida della configurazione funzioni. A seconda della versione di Anthos Service Mesh, potrebbe essere necessario aprire porte aggiuntive affinché i comandi istioctl version e istioctl ps funzionino correttamente:
- 1.7.3: il comando
istioctl versionrichiede la porta 15014 eistioctl psrichiede la porta 8080. L'apertura di entrambi i tipi di codice 15014 e 8080 fa sì cheistioctl versionrestituisca una risposta più rapidamente. - 1.8.1: non è necessario aprire porte per questi comandi, ma l'apertura 15014 consente a
istioctl versioneistioctl psdi restituire una risposta più rapidamente.
Puoi aggiungere una regola firewall o aggiornare la regola firewall creata automaticamente al momento della creazione del cluster privato. I passaggi seguenti descrivono come aggiornare la regola firewall. Il comando di aggiornamento sostituisce la regola firewall esistente, quindi devi includere le porte predefinite 443 (HTTPS) e 10250 (kubelet) e le nuove porte da aprire.
Trova l'intervallo di origine (
master-ipv4-cidr) del cluster. Nel comando seguente, sostituisciCLUSTER_NAMEcon il nome del tuo cluster:gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
Aggiorna la regola firewall. Scegli uno dei comandi seguenti e sostituisci
FIREWALL_RULE_NAMEcon il nome della regola firewall nell'output del comando precedente.Se vuoi abilitare solo l'inserimento automatico, esegui questo comando per aprire la porta 15017:
gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
Se vuoi abilitare l'inserimento automatico e i comandi
istioctl versioneistioctl ps, esegui il comando seguente per aprire le porte 15017, 15014 e 8080:gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080