如果您要在专用集群上安装 Anthos Service Mesh,则必须在防火墙中打开端口 15017,以获取与自动 Sidecar 注入(自动注入)搭配使用的网络钩子,以便正常运行。您可能需要打开其他端口才能使得 istioctl version 和 istioctl ps 命令正常运行,具体取决于您的 Anthos Service Mesh 版本:
- 1.7.3:
istioctl version命令需要端口 15014,而istioctl ps需要端口 8080。同时打开 15014 和 8080 可让istioctl version更快地返回响应。 - 1.8.1:您无需为这些命令打开任何端口,但打开 15014 可让
istioctl version和istioctl ps更快地返回响应。
您可以按添加防火墙规则或更新在创建专用集群时自动创建的防火墙规则:以下步骤介绍了如何更新防火墙规则。更新命令会替换现有防火墙规则,因此您需要包含默认端口 443 (HTTPS) 和 10250 (kubelet),以及要打开的新端口。
找到集群的来源范围 (
master-ipv4-cidr)。在以下命令中,将CLUSTER_NAME替换为您的集群的名称:gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
更新防火墙规则。选择以下某个命令,并将
FIREWALL_RULE_NAME替换为上一个命令输出中的防火墙规则的名称。如果您只想启用自动注入,请运行以下命令打开端口 15017:
gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
如果要启用自动注入功能以及
istioctl version和istioctl ps命令,请运行以下命令以打开端口 15017、15014 和 8080:gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080