Wenn Sie Anthos Service Mesh in einem privaten Cluster installieren, müssen Sie Port 15017 in der Firewall öffnen, damit der Webhook mit automatischer Sidecar-Einfügung (automatische Injektion) ordnungsgemäß funktioniert. Damit die Befehle istioctl version und istioctl ps ordnungsgemäß funktionieren, müssen Sie außerdem die Ports 15014 bzw. 8080 öffnen.
Sie können entweder eine Firewallregel hinzufügen oder die Firewallregel aktualisieren, die beim Erstellen des privaten Clusters automatisch erstellt wurde: In den folgenden Schritten wird beschrieben, wie Sie die Firewallregel aktualisieren. Der Aktualisierungsbefehl ersetzt die vorhandene Firewallregel. Sie müssen also die Standardports 443 (HTTPS) und 10250 (kubelet) sowie die neuen Ports, die Sie öffnen möchten, einbeziehen.
Suchen Sie den Quellbereich (
master-ipv4-cidr) des Clusters. Ersetzen Sie im folgenden BefehlCLUSTER_NAMEdurch den Namen des Clusters:gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
Aktualisieren Sie die Firewallregel. Wählen Sie einen der folgenden Befehle aus und ersetzen Sie
FIREWALL_RULE_NAMEdurch den Namen der Firewallregel aus der Ausgabe des vorherigen Befehls.Wenn Sie nur die automatische Einfügung aktivieren möchten, führen Sie den folgenden Befehl aus, um Port 15017 zu öffnen:
gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
Wenn Sie die automatische Einfügung und die Befehle
istioctl versionundistioctl psaktivieren möchten, öffnen Sie mit dem folgenden Befehl die Ports 15017, 15014 und 8080:gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080