Si instalarás Anthos Service Mesh en un clúster privado, deberás abrir el puerto 15017 en el firewall para que el webhook se use con la inserción automática de sidecar y funcione de manera correcta. Además, para que los comandos istioctl version y istioctl ps funcionen de manera correcta, debes abrir los puertos 15014 y 8080, respectivamente.
Puedes agregar una regla de firewall o actualizar la que se creó de forma automática cuando creaste el clúster privado, de la siguiente manera: En los siguientes pasos, se describe cómo actualizar la regla de firewall. El comando de actualización reemplaza la regla de firewall existente, por lo que debes incluir los puertos predeterminados 443 (HTTPS) y 10250 (kubelet), así como los nuevos puertos que deseas abrir.
Busca el rango de origen (
master-ipv4-cidr) del clúster. En el siguiente comando, reemplazaCLUSTER_NAMEpor el nombre del clúster:gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
Actualiza la regla de firewall. Elige uno de los siguientes comandos y reemplaza
FIREWALL_RULE_NAMEpor el nombre de la regla de firewall del resultado del comando anterior.Si solo deseas habilitar la inyección automática, ejecuta el siguiente comando para abrir el puerto 15017:
gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
Si deseas habilitar la inyección automática y los comandos
istioctl versionyistioctl ps, ejecuta el siguiente comando para abrir los puertos 15017, 15014 y 8080:gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080