Si instalarás Anthos Service Mesh en un clúster privado, deberás abrir el puerto 15017 en el firewall para que el webhook se use con la inserción automática de sidecar y funcione de manera correcta. Según tu versión de Anthos Service Mesh, es posible que debas abrir puertos adicionales para obtener los comandos istioctl version
y istioctl ps
a fin de que funcionen correctamente:
- 1.7.3: El comando
istioctl version
requiere un puerto 15014 yistioctl ps
requiere el puerto 8080. Si abres 15014 y 8080,istioctl version
muestra una respuesta más rápido. - 1.8.1: No necesitas abrir ningún puerto para estos comandos, pero si abres el puerto 15014, permitirá que
istioctl version
yistioctl ps
muestren una respuesta más rápido.
Puedes agregar una regla de firewall o actualizar la que se creó de forma automática cuando creaste el clúster privado, de la siguiente manera: En los siguientes pasos, se describe cómo actualizar la regla de firewall. El comando de actualización reemplaza la regla de firewall existente, por lo que debes incluir los puertos predeterminados 443 (HTTPS
) y 10250 (kubelet
), así como los nuevos puertos que deseas abrir.
Busca el rango de origen (
master-ipv4-cidr
) del clúster. En el siguiente comando, reemplazaCLUSTER_NAME
por el nombre del clúster:gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
Actualiza la regla de firewall. Elige uno de los siguientes comandos y reemplaza
FIREWALL_RULE_NAME
por el nombre de la regla de firewall del resultado del comando anterior.Si solo deseas habilitar la inyección automática, ejecuta el siguiente comando para abrir el puerto 15017:
gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
Si deseas habilitar la inyección automática y los comandos
istioctl version
yistioctl ps
, ejecuta el siguiente comando para abrir los puertos 15017, 15014 y 8080:gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080