打开专用集群上的端口

若要在专用集群上安装集群内 Anthos Service Mesh,则必须在防火墙中打开端口 15017,以使用于自动 Sidecar 注入(自动注入)和配置验证的网络钩子正常运行。

您可以按添加防火墙规则或更新在创建专用集群时自动创建的防火墙规则:以下步骤介绍了如何更新防火墙规则。更新命令会替换现有防火墙规则,因此您需要包含默认端口 443 (HTTPS) 和 10250 (kubelet),以及要打开的新端口。

  1. 找到集群的来源范围 (master-ipv4-cidr)。在以下命令中,将 CLUSTER_NAME 替换为您的集群的名称:

    gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
  2. 更新防火墙规则。选择以下某个命令,并将 FIREWALL_RULE_NAME 替换为上一个命令输出中的防火墙规则的名称。

    • 如果您只想启用自动注入,请运行以下命令打开端口 15017:

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
    • 如果要启用自动注入功能以及 istioctl versionistioctl ps 命令,请运行以下命令以打开端口 15017、15014 和 8080:

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080