Ports in einem privaten Cluster öffnen

Wenn Sie Cloud Service Mesh im Cluster installieren privaten Cluster nutzen, müssen Sie Port 15017 in der Firewall öffnen, um den Webhooks mit automatische Sidecar-Einfügung (automatische Einschleusung) und Konfigurationsvalidierung funktioniert.

In den folgenden Schritten wird beschrieben, wie Sie eine Firewall hinzufügen. , um die neuen Ports aufzunehmen, die Sie öffnen möchten.

  1. Suchen Sie den Quellbereich (master-ipv4-cidr) und die Ziele des Clusters. Ersetzen Sie im folgenden Befehl CLUSTER_NAME durch den Namen des Clusters:

    gcloud compute firewall-rules list \
        --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
        --format 'table(
            name,
            network,
            direction,
            sourceRanges.list():label=SRC_RANGES,
            allowed[].map().firewall_rule().list():label=ALLOW,
            targetTags.list():label=TARGET_TAGS
        )'
    
  2. Firewallregel erstellen Wählen Sie einen der folgenden Befehle aus und ersetzen Sie CLUSTER_NAME durch den Namen des Clusters des vorherigen Befehls.

    • Führen Sie den folgenden Befehl aus, um die automatische Injektion zu aktivieren. Öffnen Sie Port 15017:

      gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
        --action ALLOW \
        --direction INGRESS \
        --source-ranges CONTROL_PLANE_RANGE \
        --rules tcp:15017 \
        --target-tags TARGET
      

      Ersetzen Sie Folgendes:

      • CLUSTER_NAME: der Name Ihres Clusters
      • CONTROL_PLANE_RANGE ist der IP-Adressbereich der Clustersteuerungsebene (masterIpv4CidrBlock), den Sie zuvor erfasst haben.
      • TARGET: der zuvor ermittelte Zielwert (Targets).
    • Wenn Sie auch die istioctl version aktivieren möchten und istioctl ps verwenden, führen Sie den folgenden Befehl aus, um Ports zu öffnen. 15014 und 8080:

      gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
        --action ALLOW \
        --direction INGRESS \
        --source-ranges CONTROL_PLANE_RANGE \
        --rules tcp:15014,tcp:8080 \
        --target-tags TARGET
      

      Ersetzen Sie Folgendes:

      • CLUSTER_NAME: der Name Ihres Clusters
      • CONTROL_PLANE_RANGE ist der IP-Adressbereich der Clustersteuerungsebene (masterIpv4CidrBlock), den Sie zuvor erfasst haben.
      • TARGET: der zuvor ermittelte Zielwert (Targets).