Sie lesen die Dokumentation für Anthos Service Mesh 1.7. Lesen Sie die aktuelle Dokumentation oder wählen Sie eine andere verfügbare Version aus:

Ports in einem privaten Cluster öffnen

Wenn Sie Anthos Service Mesh in einem privaten Cluster installieren, müssen Sie Port 15017 in der Firewall öffnen, damit der Webhook mit automatischer Sidecar-Einfügung (automatische Injektion) ordnungsgemäß funktioniert. Damit die Befehle istioctl version und istioctl ps ordnungsgemäß funktionieren, müssen Sie außerdem die Ports 15014 bzw. 8080 öffnen.

Sie können entweder eine Firewallregel hinzufügen oder die Firewallregel aktualisieren, die beim Erstellen des privaten Clusters automatisch erstellt wurde: In den folgenden Schritten wird beschrieben, wie Sie die Firewallregel aktualisieren. Der Aktualisierungsbefehl ersetzt die vorhandene Firewallregel. Sie müssen also die Standardports 443 (HTTPS) und 10250 (kubelet) sowie die neuen Ports, die Sie öffnen möchten, einbeziehen.

  1. Suchen Sie den Quellbereich (master-ipv4-cidr) des Clusters. Ersetzen Sie im folgenden Befehl CLUSTER_NAME durch den Namen des Clusters:

    gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
  2. Aktualisieren Sie die Firewallregel. Wählen Sie einen der folgenden Befehle aus und ersetzen Sie FIREWALL_RULE_NAME durch den Namen der Firewallregel aus der Ausgabe des vorherigen Befehls.

    • Wenn Sie nur die automatische Einfügung aktivieren möchten, führen Sie den folgenden Befehl aus, um Port 15017 zu öffnen:

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
    • Wenn Sie die automatische Einfügung und die Befehle istioctl version und istioctl ps aktivieren möchten, öffnen Sie mit dem folgenden Befehl die Ports 15017, 15014 und 8080:

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080