打开专用集群上的端口

如果您要在专用集群上安装 Anthos Service Mesh，则必须在防火墙中打开端口 15017，以获取与自动 Sidecar 注入搭配使用的网络钩子，以便正常运行。您可以按如下方式添加防火墙规则或更新在创建专用集群时自动创建的防火墙规则：

1. 找到集群的来源范围 (master-ipv4-cidr)。在以下命令中，将 CLUSTER_NAME 替换为您的集群的名称：

   gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"

2. 使用端口 15017 更新防火墙规则。在以下命令中，将 FIREWALL_RULE_NAME 替换为您的防火墙规则的名称：

   gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017

   更新命令实际上是替换，因此您需要包含默认端口 443 (HTTPS) 和 10250 (Kubelet) 以及 15017。