Ouvrir des ports sur un cluster privé

Si vous installez Anthos Service Mesh sur un cluster privé, vous devez ouvrir le port 15017 dans le pare-feu pour que les webhooks utilisés pour l'injection side-car automatique (auto-injection) et la validation de la configuration fonctionnent correctement.

Les étapes suivantes décrivent comment ajouter une règle de pare-feu pour inclure les nouveaux ports que vous souhaitez ouvrir.

  1. Recherchez la plage source (master-ipv4-cidr) et les cibles du cluster. Dans la commande suivante, remplacez CLUSTER_NAME par le nom de votre cluster :

    gcloud compute firewall-rules list \
        --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
        --format 'table(
            name,
            network,
            direction,
            sourceRanges.list():label=SRC_RANGES,
            allowed[].map().firewall_rule().list():label=ALLOW,
            targetTags.list():label=TARGET_TAGS
        )'
    
  2. Créez la règle de pare-feu. Choisissez l'une des commandes suivantes et remplacez CLUSTER_NAME par le nom du cluster de la commande précédente.

    • Pour activer l'injection automatique, exécutez la commande suivante pour ouvrir le port 15017:

      gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
        --action ALLOW \
        --direction INGRESS \
        --source-ranges CONTROL_PLANE_RANGE \
        --rules tcp:15017 \
        --target-tags TARGET
      

      Remplacez les éléments suivants :

      • CLUSTER_NAME : nom du cluster
      • CONTROL_PLANE_RANGE : plage d'adresses IP du plan de contrôle du cluster (masterIpv4CidrBlock) que vous avez collectée précédemment.
      • TARGET: valeur cible (Targets) que vous avez collectée précédemment.
    • Si vous souhaitez également activer les commandes istioctl version et istioctl ps, exécutez la commande suivante pour ouvrir les ports 15014 et 8080:

      gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
        --action ALLOW \
        --direction INGRESS \
        --source-ranges CONTROL_PLANE_RANGE \
        --rules tcp:15014,tcp:8080 \
        --target-tags TARGET
      

      Remplacez les éléments suivants :

      • CLUSTER_NAME : nom du cluster
      • CONTROL_PLANE_RANGE : plage d'adresses IP du plan de contrôle du cluster (masterIpv4CidrBlock) que vous avez collectée précédemment.
      • TARGET: valeur cible (Targets) que vous avez collectée précédemment.