Abrir portas num cluster privado
Se estiver a instalar o Cloud Service Mesh no cluster num cluster privado, tem de abrir a porta 15017 na firewall para que os webhooks usados com a injeção automática de sidecar (injeção automática) e a validação da configuração funcionem.
Os passos seguintes descrevem como adicionar uma regra de firewall para incluir as novas portas que quer abrir.
Encontre o intervalo de origem (
master-ipv4-cidr) e os destinos do cluster. No comando seguinte, substituaCLUSTER_NAMEpelo nome do seu cluster:gcloud compute firewall-rules list \ --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \ --format 'table( name, network, direction, sourceRanges.list():label=SRC_RANGES, allowed[].map().firewall_rule().list():label=ALLOW, targetTags.list():label=TARGET_TAGS )'Crie a regra de firewall. Escolha um dos seguintes comandos e substitua
CLUSTER_NAMEpelo nome do cluster do comando anterior.Para ativar a injeção automática, execute o seguinte comando para abrir a porta 15017:
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15017 \ --target-tags TARGET
Substitua o seguinte:
CLUSTER_NAME: o nome do seu clusterCONTROL_PLANE_RANGE: o intervalo de endereços IP do plano de controlo do cluster (masterIpv4CidrBlock) que recolheu anteriormente.TARGET: o valor alvo (Targets) que recolheu anteriormente.
Se também quiser ativar os comandos
istioctl versioneistioctl ps, execute o seguinte comando para abrir as portas 15014 e 8080:gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15014,tcp:8080 \ --target-tags TARGET
Substitua o seguinte:
CLUSTER_NAME: o nome do seu clusterCONTROL_PLANE_RANGE: o intervalo de endereços IP do plano de controlo do cluster (masterIpv4CidrBlock) que recolheu anteriormente.TARGET: o valor alvo (Targets) que recolheu anteriormente.