Abrir portas em um cluster particular
Se você for como instalar o Cloud Service Mesh no cluster em um cluster particular, é preciso abrir a porta 15017 no firewall para os webhooks usados com injeção automática de sidecar (injeção automática) e validação de configuração.
As etapas a seguir descrevem como adicionar uma regra de firewall para incluir as novas portas que você quer abrir.
Encontre o intervalo de origem (
master-ipv4-cidr
) e os destinos do cluster. No comando a seguir, substituaCLUSTER_NAME
pelo nome do cluster:gcloud compute firewall-rules list \ --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \ --format 'table( name, network, direction, sourceRanges.list():label=SRC_RANGES, allowed[].map().firewall_rule().list():label=ALLOW, targetTags.list():label=TARGET_TAGS )'
Crie a regra de firewall. Escolha um dos comandos a seguir e substitua
CLUSTER_NAME
pelo nome do cluster do comando anterior.Para ativar a injeção automática, execute o seguinte comando para abrir a porta 15017:
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15017 \ --target-tags TARGET
Substitua:
CLUSTER_NAME
: o nome do clusterCONTROL_PLANE_RANGE
: o intervalo de endereços IP do plano de controle de cluster (masterIpv4CidrBlock
) coletado anteriormente.TARGET
: é o valor de destino (Targets
) coletado anteriormente.
Se você também quiser ativar os comandos
istioctl version
eistioctl ps
, execute o seguinte comando para abrir as portas 15014 e 8080:gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15014,tcp:8080 \ --target-tags TARGET
Substitua:
CLUSTER_NAME
: o nome do clusterCONTROL_PLANE_RANGE
: o intervalo de endereços IP do plano de controle de cluster (masterIpv4CidrBlock
) coletado anteriormente.TARGET
: é o valor de destino (Targets
) coletado anteriormente.