Abrir puertos en un clúster privado
Si instalas Anthos Service Mesh en un clúster privado, debes abrir el puerto 15017 en el firewall a fin de que los webhooks que se usan para la inyección automática de sidecar (inserción automática) y la validación de configuración funcionen.
Puedes agregar una regla de firewall o actualizar la que se creó de forma automática cuando creaste el clúster privado, de la siguiente manera: En los siguientes pasos, se describe cómo actualizar la regla de firewall. El comando de actualización reemplaza la regla de firewall existente, por lo que debes incluir los puertos predeterminados 443 (HTTPS
) y 10250 (kubelet
), así como los nuevos puertos que deseas abrir.
Busca el rango de origen (
master-ipv4-cidr
) del clúster. En el siguiente comando, reemplazaCLUSTER_NAME
por el nombre del clúster:gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
Actualiza la regla de firewall. Elige uno de los siguientes comandos y reemplaza
FIREWALL_RULE_NAME
por el nombre de la regla de firewall del resultado del comando anterior.Si solo deseas habilitar la inyección automática, ejecuta el siguiente comando para abrir el puerto 15017:
gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
Si deseas habilitar la inyección automática y los comandos
istioctl version
yistioctl ps
, ejecuta el siguiente comando para abrir los puertos 15017, 15014 y 8080:gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080