비공개 클러스터에 Anthos Service Mesh를 설치하는 경우 자동 사이드카 삽입(자동 삽입)과 함께 사용되는 웹훅을 가져오려면 방화벽에서 포트 15017을 열어야 제대로 작동합니다. 또한 istioctl version 및 istioctl ps 명령어가 제대로 작동하려면 각각 포트 15014 및 8080을 열어야 합니다.
방화벽 규칙을 추가하거나 비공개 클러스터를 만들 때 자동으로 생성된 방화벽 규칙을 업데이트할 수 있습니다. 다음 단계에서는 방화벽 규칙을 업데이트하는 방법을 설명합니다. update 명령어는 기존 방화벽 규칙을 대체하므로 기본 포트 443(HTTPS) 및 10250(kubelet)과 열려고 하는 새 포트를 포함해야 합니다.
클러스터의 소스 범위(
master-ipv4-cidr)를 찾습니다. 다음 명령어에서CLUSTER_NAME을 클러스터 이름으로 바꿉니다.gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
방화벽 규칙을 업데이트합니다. 다음 명령어 중 하나를 선택하고
FIREWALL_RULE_NAME를 이전 명령어의 출력에서 방화벽 규칙의 이름으로 바꿉니다.자동 삽입만 사용 설정하려면 다음 명령어를 실행하여 포트 15017을 엽니다.
gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
자동 삽입과
istioctl version및istioctl ps명령어를 사용 설정하려면 다음 명령어를 실행하여 포트 15017, 15014, 8080을 엽니다.gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080