打开专用集群上的端口

如果您要在专用集群上安装 Anthos Service Mesh,则必须在防火墙中打开端口 15017,以获取与自动 Sidecar 注入(自动注入)搭配使用的网络钩子,以便正常运行。此外,如需使 istioctl versionistioctl ps 命令正常运行,您必须分别打开端口 15014 和 8080。

您可以按添加防火墙规则或更新在创建专用集群时自动创建的防火墙规则:以下步骤介绍了如何更新防火墙规则。更新命令会替换现有防火墙规则,因此您需要包含默认端口 443 (HTTPS) 和 10250 (kubelet),以及要打开的新端口。

  1. 找到集群的来源范围 (master-ipv4-cidr)。在以下命令中,将 CLUSTER_NAME 替换为您的集群的名称:

    gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
  2. 更新防火墙规则。选择以下某个命令,并将 FIREWALL_RULE_NAME 替换为上一个命令输出中的防火墙规则的名称。

    • 如果您只想启用自动注入,请运行以下命令打开端口 15017:

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
    • 如果要启用自动注入功能以及 istioctl versionistioctl ps 命令,请运行以下命令以打开端口 15017、15014 和 8080:

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080