Ouvrir des ports sur un cluster privé

Si vous installez Cloud Service Mesh sur un cluster privé, vous devez ouvrir le port 15017 dans le pare-feu pour que les webhooks utilisés pour l'injection side-car automatique (auto-injection) et la validation de la configuration fonctionnent correctement.

Les étapes suivantes décrivent comment ajouter une règle de pare-feu pour inclure les nouveaux ports que vous souhaitez ouvrir.

Recherchez la plage source (master-ipv4-cidr) et les cibles du cluster. Dans la commande suivante, remplacez CLUSTER_NAME par le nom de votre cluster :

gcloud compute firewall-rules list \
    --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

Créez la règle de pare-feu. Choisissez l'une des commandes suivantes et remplacez CLUSTER_NAME par le nom du cluster de la commande précédente.
- Pour activer l'injection automatique, exécutez la commande suivante pour ouvrir le port 15017:
```
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15017 \
  --target-tags TARGET
```
  Remplacez les éléments suivants :
  - CLUSTER_NAME : nom du cluster
  - CONTROL_PLANE_RANGE : plage d'adresses IP du plan de contrôle du cluster (masterIpv4CidrBlock) que vous avez collectée précédemment.
  - TARGET: valeur cible (Targets) que vous avez collectée précédemment.
  Remarque: Pour ajouter une règle de pare-feu pour un VPC partagé, ajoutez les options suivantes à la commande:
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  Pour en savoir plus sur le VPC partagé, consultez la page Configurer des clusters avec un VPC partagé.
- Si vous souhaitez également activer les commandes istioctl version et istioctl ps, exécutez la commande suivante pour ouvrir les ports 15014 et 8080:
```
gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15014,tcp:8080 \
  --target-tags TARGET
```
  Remplacez les éléments suivants :
  - CLUSTER_NAME : nom du cluster
  - CONTROL_PLANE_RANGE : plage d'adresses IP du plan de contrôle du cluster (masterIpv4CidrBlock) que vous avez collectée précédemment.
  - TARGET: valeur cible (Targets) que vous avez collectée précédemment.
  Remarque: Pour ajouter une règle de pare-feu pour un VPC partagé, ajoutez les options suivantes à la commande:
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  Pour en savoir plus sur le VPC partagé, consultez la page Configurer des clusters avec un VPC partagé.