Ports in einem privaten Cluster öffnen

Wenn Sie das Cloud Service Mesh im Cluster in einem privaten Cluster installieren, müssen Sie Port 15017 in der Firewall öffnen, damit die Webhooks mit der automatischen Sidecar-Injektion (automatischen Einschleusung) und der Konfigurationsvalidierung funktionieren.

In den folgenden Schritten wird beschrieben, wie Sie eine Firewallregel hinzufügen, um die neuen Ports einzubeziehen, die Sie öffnen möchten.

Suchen Sie den Quellbereich (master-ipv4-cidr) und die Ziele des Clusters. Ersetzen Sie im folgenden Befehl CLUSTER_NAME durch den Namen des Clusters:

gcloud compute firewall-rules list \
    --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

Firewallregel erstellen Wählen Sie einen der folgenden Befehle aus und ersetzen Sie CLUSTER_NAME durch den Namen des Clusters aus dem vorherigen Befehl.
- Führen Sie den folgenden Befehl aus, um Port 15017 zu öffnen, um die automatische Injektion zu aktivieren:
```
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15017 \
  --target-tags TARGET
```
  Ersetzen Sie Folgendes:
  - CLUSTER_NAME: der Name Ihres Clusters
  - CONTROL_PLANE_RANGE ist der IP-Adressbereich der Clustersteuerungsebene (masterIpv4CidrBlock), den Sie zuvor erfasst haben.
  - TARGET: der zuvor ermittelte Zielwert (Targets).
  Hinweis: Wenn Sie eine Firewallregel für eine freigegebene VPC hinzufügen möchten, fügen Sie dem Befehl die folgenden Flags hinzu:
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  Weitere Informationen zur freigegebene VPC finden Sie unter Cluster mit freigegebener VPC einrichten.
- Wenn Sie auch die Befehle istioctl version und istioctl ps aktivieren möchten, führen Sie den folgenden Befehl aus, um die Ports 15014 und 8080 zu öffnen:
```
gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15014,tcp:8080 \
  --target-tags TARGET
```
  Ersetzen Sie Folgendes:
  - CLUSTER_NAME: der Name Ihres Clusters
  - CONTROL_PLANE_RANGE ist der IP-Adressbereich der Clustersteuerungsebene (masterIpv4CidrBlock), den Sie zuvor erfasst haben.
  - TARGET: der zuvor ermittelte Zielwert (Targets).
  Hinweis: Wenn Sie eine Firewallregel für eine freigegebene VPC hinzufügen möchten, fügen Sie dem Befehl die folgenden Flags hinzu:
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  Weitere Informationen zur freigegebene VPC finden Sie unter Cluster mit freigegebener VPC einrichten.