비공개 클러스터에서 포트 열기
비공개 클러스터에 클러스터 내 Cloud Service Mesh를 설치하는 경우 자동 사이드카 삽입(자동 삽입)에 사용되는 웹훅을 가져오고 구성 유효성 검사가 작동하도록 방화벽에서 포트 15017을 열어야 합니다.
다음 단계에서는 열려는 새 포트를 포함하도록 방화벽 규칙을 추가하는 방법을 설명합니다.
클러스터의 소스 범위(
master-ipv4-cidr
) 및 대상을 찾습니다. 다음 명령어에서CLUSTER_NAME
을 클러스터 이름으로 바꿉니다.gcloud compute firewall-rules list \ --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \ --format 'table( name, network, direction, sourceRanges.list():label=SRC_RANGES, allowed[].map().firewall_rule().list():label=ALLOW, targetTags.list():label=TARGET_TAGS )'
방화벽 규칙 만들기 다음 명령어 중 하나를 선택하고
CLUSTER_NAME
을 이전 명령어의 클러스터 이름으로 바꿉니다.자동 삽입을 사용 설정하려면 다음 명령어를 실행하여 포트 15017을 엽니다.
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15017 \ --target-tags TARGET
다음을 바꿉니다.
CLUSTER_NAME
: 클러스터 이름입니다.CONTROL_PLANE_RANGE
: 이전에 수집한 클러스터 제어 영역의 IP 주소 범위(masterIpv4CidrBlock
)입니다.TARGET
: 이전에 수집한 대상(Targets
) 값입니다.
istioctl version
및istioctl ps
명령어도 사용 설정하려면 다음 명령어를 실행하여 포트 15014 및 8080을 엽니다.gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15014,tcp:8080 \ --target-tags TARGET
다음을 바꿉니다.
CLUSTER_NAME
: 클러스터 이름입니다.CONTROL_PLANE_RANGE
: 이전에 수집한 클러스터 제어 영역의 IP 주소 범위(masterIpv4CidrBlock
)입니다.TARGET
: 이전에 수집한 대상(Targets
) 값입니다.