Stai visualizzando la documentazione di Service Mesh precedente alla versione 1.20.

Versioni disponibili

Cloud Service Mesh
Archivio 1.22
Archivio 1.21
Archivio 1.20
Archivio 1.19
Archivio 1.18

Questa pagina è stata tradotta dall'API Cloud Translation.

Apertura delle porte su un cluster privato

Se installazione di Cloud Service Mesh nel cluster su un cluster privato, devi aprire la porta 15017 nel firewall per ottenere webhook utilizzati con iniezione automatica del file collaterale (inserimento automatico) e la convalida della configurazione funzionino.

I passaggi seguenti spiegano come aggiungere un firewall per includere le nuove porte che vuoi aprire.

Trova l'intervallo di origine (master-ipv4-cidr) e le destinazioni del cluster. Nel comando seguente, sostituisci CLUSTER_NAME con il nome del tuo cluster:

gcloud compute firewall-rules list \
    --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

Crea la regola firewall. Scegli tra i seguenti comandi e sostituisci CLUSTER_NAME con il nome del cluster del comando precedente.
- Per abilitare l'inserimento automatico, esegui questo comando per porta aperta 15017:
```
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15017 \
  --target-tags TARGET
```
  Sostituisci quanto segue:
  - CLUSTER_NAME: il nome del cluster
  - CONTROL_PLANE_RANGE: il controllo del cluster l'intervallo di indirizzi IP del piano (masterIpv4CidrBlock) che hai raccolto in precedenza.
  - TARGET: il valore target (Targets) raccolto in precedenza.
  Nota: per aggiungere una regola firewall per un VPC condiviso, aggiungi i seguenti flag al comando:
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  Per ulteriori informazioni sul VPC condiviso, consulta Configurazione di cluster con VPC condiviso.
- Se vuoi attivare anche istioctl version e istioctl ps, esegui questo comando per aprire le porte 15014 e 8080:
```
gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15014,tcp:8080 \
  --target-tags TARGET
```
  Sostituisci quanto segue:
  - CLUSTER_NAME: il nome del cluster
  - CONTROL_PLANE_RANGE: il controllo del cluster l'intervallo di indirizzi IP del piano (masterIpv4CidrBlock) che hai raccolto in precedenza.
  - TARGET: il valore target (Targets) raccolto in precedenza.
  Nota: per aggiungere una regola firewall per una VPC condivisa, aggiungi al comando i seguenti flag:
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  Per ulteriori informazioni sul VPC condiviso, consulta Configurazione di cluster con VPC condiviso.