Abrir puertos en un clúster privado

Si instalas Cloud Service Mesh en el clúster en un clúster privado, debes abrir el puerto 15017 en el cortafuegos para que funcionen los webhooks que se usan con la inyección automática de sidecar (inyección automática) y la validación de la configuración.

En los siguientes pasos se describe cómo añadir una regla de cortafuegos para incluir los nuevos puertos que quieras abrir.

Busca el intervalo de origen (master-ipv4-cidr) y los destinos del clúster. En el siguiente comando, sustituye CLUSTER_NAME por el nombre de tu clúster:

gcloud compute firewall-rules list \
    --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

Crea la regla de cortafuegos. Elige uno de los siguientes comandos y sustituye CLUSTER_NAME por el nombre del clúster del comando anterior.
- Para habilitar la inyección automática, ejecuta el siguiente comando para abrir el puerto 15017:
```
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15017 \
  --target-tags TARGET
```
  Haz los cambios siguientes:
  - CLUSTER_NAME: el nombre de tu clúster
  - CONTROL_PLANE_RANGE: el intervalo de direcciones IP del plano de control del clúster (masterIpv4CidrBlock) que has recogido anteriormente.
  - TARGET: el valor de destino (Targets) que has recogido anteriormente.
  Nota: Para añadir una regla de cortafuegos a una VPC compartida, añade las siguientes marcas al comando:
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  Para obtener más información sobre la VPC compartida, consulta el artículo Configurar clústeres con una VPC compartida.
- Si también quieres habilitar los comandos istioctl version y istioctl ps, ejecuta el siguiente comando para abrir los puertos 15014 y 8080:
```
gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15014,tcp:8080 \
  --target-tags TARGET
```
  Haz los cambios siguientes:
  - CLUSTER_NAME: el nombre de tu clúster
  - CONTROL_PLANE_RANGE: el intervalo de direcciones IP del plano de control del clúster (masterIpv4CidrBlock) que has recogido anteriormente.
  - TARGET: el valor de destino (Targets) que has recogido anteriormente.
  Nota: Para añadir una regla de cortafuegos a una VPC compartida, añade las siguientes marcas al comando:
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  Para obtener más información sobre la VPC compartida, consulta el artículo Configurar clústeres con una VPC compartida.