限定公開クラスタでポートを開く

限定公開クラスタにクラスタ内 Anthos Service Mesh をインストールする場合は、ファイアウォールでポート 15017 を開き、自動サイドカー インジェクション(自動インジェクション)と構成検証で使用する Webhook が適切に機能する必要があります。

ファイアウォール ルールを追加するか、限定公開クラスタを作成したときに自動的に作成されたファイアウォール ルールを更新します。次の手順では、ファイアウォール ルールを更新する方法について説明します。update コマンドは既存のファイアウォール ルールを置き換えるため、デフォルト ポート 443(HTTPS)と 10250(kubelet)および開く新しいポートを含める必要があります。

  1. クラスタのソース範囲(master-ipv4-cidr)を確認します。次のコマンドで、CLUSTER_NAME をクラスタの名前で置き換えます。

    gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
  2. ファイアウォール ルールを更新します。次のいずれかのコマンドを選択し、FIREWALL_RULE_NAME を前のコマンド出力のファイアウォール ルールの名前に置き換えます。

    • 自動挿入を有効にするだけの場合は、次のコマンドを実行してポート 15017 を開きます。

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
    • 自動挿入および istioctl version コマンドと istioctl ps コマンドを有効にする場合は、次のコマンドを実行してポート 15017、15014、8080 を開きます。

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080