Wenn Sie Anthos Service Mesh in einem privaten Cluster installieren, müssen Sie Port 15017 in der Firewall öffnen, damit die Webhooks mit automatischer Sidecar-Einfügung (automatisches Einfügen) und die Konfigurationsvalidierung funktionieren. Je nach Version von Anthos Service Mesh müssen Sie möglicherweise zusätzliche Ports öffnen, damit die Befehle istioctl version
und istioctl ps
ordnungsgemäß funktionieren:
- 1.7.3: Der Befehl
istioctl version
erfordert Port 15014 undistioctl ps
erfordert Port 8080. Wenn Sie sowohl 15014 als auch 8080 öffnen, gibtistioctl version
schneller eine Antwort zurück. - 1.8.1: Für diese Befehle müssen Sie keine Ports öffnen. Wenn Sie jedoch 15014 öffnen, geben
istioctl version
undistioctl ps
schneller eine Antwort zurück.
Sie können entweder eine Firewallregel hinzufügen oder die Firewallregel aktualisieren, die beim Erstellen des privaten Clusters automatisch erstellt wurde: In den folgenden Schritten wird beschrieben, wie Sie die Firewallregel aktualisieren. Der Aktualisierungsbefehl ersetzt die vorhandene Firewallregel. Sie müssen also die Standardports 443 (HTTPS
) und 10250 (kubelet
) sowie die neuen Ports, die Sie öffnen möchten, einbeziehen.
Suchen Sie den Quellbereich (
master-ipv4-cidr
) des Clusters. Ersetzen Sie im folgenden BefehlCLUSTER_NAME
durch den Namen des Clusters:gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
Aktualisieren Sie die Firewallregel. Wählen Sie einen der folgenden Befehle aus und ersetzen Sie
FIREWALL_RULE_NAME
durch den Namen der Firewallregel aus der Ausgabe des vorherigen Befehls.Wenn Sie nur die automatische Einfügung aktivieren möchten, führen Sie den folgenden Befehl aus, um Port 15017 zu öffnen:
gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017
Wenn Sie die automatische Einfügung und die Befehle
istioctl version
undistioctl ps
aktivieren möchten, öffnen Sie mit dem folgenden Befehl die Ports 15017, 15014 und 8080:gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017,tcp:15014,tcp:8080