打开专用集群上的端口
如果您 安装集群内 Cloud Service Mesh 则必须在防火墙中打开端口 15017 webhook 自动 Sidecar 注入 (自动注入)和配置验证正常运行。
以下步骤介绍了如何添加防火墙规则以包含要打开的新端口。
找到集群的来源范围 (
master-ipv4-cidr
) 和目标。在以下命令中,将CLUSTER_NAME
替换为您的集群的名称:gcloud compute firewall-rules list \ --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \ --format 'table( name, network, direction, sourceRanges.list():label=SRC_RANGES, allowed[].map().firewall_rule().list():label=ALLOW, targetTags.list():label=TARGET_TAGS )'
创建防火墙规则。 从以下命令中进行选择,并将
CLUSTER_NAME
替换为上一条命令中的集群名称。要启用自动注入,请运行以下命令打开端口 15017:
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15017 \ --target-tags TARGET
请替换以下内容:
CLUSTER_NAME
:您的集群的名称CONTROL_PLANE_RANGE
:您之前收集的集群控制平面 IP 地址范围 (masterIpv4CidrBlock
)。TARGET
:您先前收集的目标 (Targets
) 值。
如果您还想启用
istioctl version
和istioctl ps
命令,请运行以下命令以打开端口 15014 和 8080:gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15014,tcp:8080 \ --target-tags TARGET
请替换以下内容:
CLUSTER_NAME
:您的集群的名称CONTROL_PLANE_RANGE
:您之前收集的集群控制平面 IP 地址范围 (masterIpv4CidrBlock
)。TARGET
:您先前收集的目标 (Targets
) 值。