如果您要在专用集群上安装 Anthos Service Mesh,则必须在防火墙中打开端口 15017,以获取与自动 Sidecar 注入(自动注入)搭配使用的网络钩子,以便正常运行。您可能需要打开其他端口才能使得 istioctl version
和 istioctl ps
命令正常运行,具体取决于您的 Anthos Service Mesh 版本:
- 1.7.3:
istioctl version
命令需要端口 15014,而istioctl ps
需要端口 8080。同时打开 15014 和 8080 可让istioctl version
更快地返回响应。 - 1.8.1:您无需为这些命令打开任何端口,但打开 15014 可让
istioctl version
和istioctl ps
更快地返回响应。
您可以按添加防火墙规则或更新在创建专用集群时自动创建的防火墙规则:以下步骤介绍了如何更新防火墙规则。更新命令会替换现有防火墙规则,因此您需要包含默认端口 443 (HTTPS
) 和 10250 (kubelet
),以及要打开的新端口。
找到集群的来源范围 (
master-ipv4-cidr
)。在以下命令中,将CLUSTER_NAME
替换为您的集群的名称:gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
更新防火墙规则。选择以下某个命令,并将
FIREWALL_RULE_NAME
替换为上一个命令输出中的防火墙规则的名称。如果您只想启用自动注入,请运行以下命令打开端口 15017:
gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
如果要启用自动注入功能以及
istioctl version
和istioctl ps
命令,请运行以下命令以打开端口 15017、15014 和 8080:gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080