打开专用集群上的端口

如果您 安装集群内 Cloud Service Mesh 则必须在防火墙中打开端口 15017 webhook 自动 Sidecar 注入 (自动注入)和配置验证正常运行。

以下步骤介绍了如何添加防火墙规则以包含要打开的新端口。

  1. 找到集群的来源范围 (master-ipv4-cidr) 和目标。在以下命令中,将 CLUSTER_NAME 替换为您的集群的名称:

    gcloud compute firewall-rules list \
        --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
        --format 'table(
            name,
            network,
            direction,
            sourceRanges.list():label=SRC_RANGES,
            allowed[].map().firewall_rule().list():label=ALLOW,
            targetTags.list():label=TARGET_TAGS
        )'
    
  2. 创建防火墙规则。 从以下命令中进行选择,并将 CLUSTER_NAME 替换为上一条命令中的集群名称。

    • 要启用自动注入,请运行以下命令打开端口 15017:

      gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
        --action ALLOW \
        --direction INGRESS \
        --source-ranges CONTROL_PLANE_RANGE \
        --rules tcp:15017 \
        --target-tags TARGET
      

      请替换以下内容:

      • CLUSTER_NAME:您的集群的名称
      • CONTROL_PLANE_RANGE:您之前收集的集群控制平面 IP 地址范围 (masterIpv4CidrBlock)。
      • TARGET:您先前收集的目标 (Targets) 值。
    • 如果您还想启用 istioctl versionistioctl ps 命令,请运行以下命令以打开端口 15014 和 8080:

      gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
        --action ALLOW \
        --direction INGRESS \
        --source-ranges CONTROL_PLANE_RANGE \
        --rules tcp:15014,tcp:8080 \
        --target-tags TARGET
      

      请替换以下内容:

      • CLUSTER_NAME:您的集群的名称
      • CONTROL_PLANE_RANGE:您之前收集的集群控制平面 IP 地址范围 (masterIpv4CidrBlock)。
      • TARGET:您先前收集的目标 (Targets) 值。