Si vous installez Anthos Service Mesh sur un cluster privé, vous devez ouvrir le port 15017 dans le pare-feu pour que le webhook utilisé avec l'injection side-car automatique (injection automatique) fonctionne correctement. En outre, pour que les commandes istioctl version et istioctl ps fonctionnent correctement, vous devez ouvrir les ports 15014 et 8080, respectivement.
Vous pouvez ajouter une règle de pare-feu ou mettre à jour la règle de pare-feu créée automatiquement lors de la création du cluster privé. Les étapes suivantes décrivent comment mettre à jour la règle de pare-feu. La commande de mise à jour remplace la règle de pare-feu existante. Vous devez donc inclure les ports 443 (HTTPS) et 10250 (kubelet) par défaut, ainsi que les nouveaux ports à ouvrir.
Recherchez la plage source (
master-ipv4-cidr) du cluster. Dans la commande suivante, remplacezCLUSTER_NAMEpar le nom de votre cluster :gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
Mettez à jour la règle de pare-feu. Choisissez l'une des commandes suivantes et remplacez
FIREWALL_RULE_NAMEpar le nom de la règle de pare-feu figurant dans le résultat de la commande précédente.Si vous souhaitez activer uniquement l'injection automatique, exécutez la commande suivante pour ouvrir le port 15017 :
gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
Si vous souhaitez activer l'injection automatique, ainsi que les commandes
istioctl versionetistioctl ps, exécutez la commande suivante pour ouvrir les ports 15017, 15014 et 8080 :gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080