Abrir portas em um cluster particular

Se você for como instalar o Cloud Service Mesh no cluster em um cluster particular, é preciso abrir a porta 15017 no firewall para os webhooks usados com injeção automática de sidecar (injeção automática) e validação de configuração.

As etapas a seguir descrevem como adicionar uma regra de firewall para incluir as novas portas que você quer abrir.

  1. Encontre o intervalo de origem (master-ipv4-cidr) e os destinos do cluster. No comando a seguir, substitua CLUSTER_NAME pelo nome do cluster:

    gcloud compute firewall-rules list \
        --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
        --format 'table(
            name,
            network,
            direction,
            sourceRanges.list():label=SRC_RANGES,
            allowed[].map().firewall_rule().list():label=ALLOW,
            targetTags.list():label=TARGET_TAGS
        )'
    
  2. Crie a regra de firewall. Escolha um dos comandos a seguir e substitua CLUSTER_NAME pelo nome do cluster do comando anterior.

    • Para ativar a injeção automática, execute o seguinte comando para abrir a porta 15017:

      gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
        --action ALLOW \
        --direction INGRESS \
        --source-ranges CONTROL_PLANE_RANGE \
        --rules tcp:15017 \
        --target-tags TARGET
      

      Substitua:

      • CLUSTER_NAME: o nome do cluster
      • CONTROL_PLANE_RANGE: o intervalo de endereços IP do plano de controle de cluster (masterIpv4CidrBlock) coletado anteriormente.
      • TARGET: é o valor de destino (Targets) coletado anteriormente.
    • Se você também quiser ativar os comandos istioctl version e istioctl ps, execute o seguinte comando para abrir as portas 15014 e 8080:

      gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
        --action ALLOW \
        --direction INGRESS \
        --source-ranges CONTROL_PLANE_RANGE \
        --rules tcp:15014,tcp:8080 \
        --target-tags TARGET
      

      Substitua:

      • CLUSTER_NAME: o nome do cluster
      • CONTROL_PLANE_RANGE: o intervalo de endereços IP do plano de controle de cluster (masterIpv4CidrBlock) coletado anteriormente.
      • TARGET: é o valor de destino (Targets) coletado anteriormente.