비공개 클러스터에서 포트 열기

비공개 클러스터에 클러스터 내 Cloud Service Mesh를 설치하는 경우 자동 사이드카 삽입(자동 삽입)에 사용되는 웹훅을 가져오고 구성 유효성 검사가 작동하도록 방화벽에서 포트 15017을 열어야 합니다.

다음 단계에서는 열려는 새 포트를 포함하도록 방화벽 규칙을 추가하는 방법을 설명합니다.

  1. 클러스터의 소스 범위(master-ipv4-cidr) 및 대상을 찾습니다. 다음 명령어에서 CLUSTER_NAME을 클러스터 이름으로 바꿉니다.

    gcloud compute firewall-rules list \
        --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
        --format 'table(
            name,
            network,
            direction,
            sourceRanges.list():label=SRC_RANGES,
            allowed[].map().firewall_rule().list():label=ALLOW,
            targetTags.list():label=TARGET_TAGS
        )'
    
  2. 방화벽 규칙 만들기 다음 명령어 중 하나를 선택하고 CLUSTER_NAME을 이전 명령어의 클러스터 이름으로 바꿉니다.

    • 자동 삽입을 사용 설정하려면 다음 명령어를 실행하여 포트 15017을 엽니다.

      gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
        --action ALLOW \
        --direction INGRESS \
        --source-ranges CONTROL_PLANE_RANGE \
        --rules tcp:15017 \
        --target-tags TARGET
      

      다음을 바꿉니다.

      • CLUSTER_NAME: 클러스터 이름입니다.
      • CONTROL_PLANE_RANGE: 이전에 수집한 클러스터 제어 영역의 IP 주소 범위(masterIpv4CidrBlock)입니다.
      • TARGET: 이전에 수집한 대상(Targets) 값입니다.
    • istioctl versionistioctl ps 명령어도 사용 설정하려면 다음 명령어를 실행하여 포트 15014 및 8080을 엽니다.

      gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
        --action ALLOW \
        --direction INGRESS \
        --source-ranges CONTROL_PLANE_RANGE \
        --rules tcp:15014,tcp:8080 \
        --target-tags TARGET
      

      다음을 바꿉니다.

      • CLUSTER_NAME: 클러스터 이름입니다.
      • CONTROL_PLANE_RANGE: 이전에 수집한 클러스터 제어 영역의 IP 주소 범위(masterIpv4CidrBlock)입니다.
      • TARGET: 이전에 수집한 대상(Targets) 값입니다.