Anthos Service Mesh와 Traffic Director가 이제 Cloud Service Mesh로 통합되었습니다. 자세한 내용은 Cloud Service Mesh 개요를 참조하세요.

비공개 클러스터에서 포트 열기

비공개 클러스터에 클러스터 내 Cloud Service Mesh를 설치하는 경우 자동 사이드카 삽입(자동 삽입)에 사용되는 웹훅을 가져오고 구성 유효성 검사가 작동하도록 방화벽에서 포트 15017을 열어야 합니다.

다음 단계에서는 열려는 새 포트를 포함하도록 방화벽 규칙을 추가하는 방법을 설명합니다.

클러스터의 소스 범위(master-ipv4-cidr) 및 대상을 찾습니다. 다음 명령어에서 CLUSTER_NAME을 클러스터 이름으로 바꿉니다.

gcloud compute firewall-rules list \
    --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

방화벽 규칙 만들기 다음 명령어 중 하나를 선택하고 CLUSTER_NAME을 이전 명령어의 클러스터 이름으로 바꿉니다.
- 자동 삽입을 사용 설정하려면 다음 명령어를 실행하여 포트 15017을 엽니다.
```
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15017 \
  --target-tags TARGET
```
  다음을 바꿉니다.
  - CLUSTER_NAME: 클러스터 이름입니다.
  - CONTROL_PLANE_RANGE: 이전에 수집한 클러스터 제어 영역의 IP 주소 범위(masterIpv4CidrBlock)입니다.
  - TARGET: 이전에 수집한 대상(Targets) 값입니다.
  참고: 공유 VPC의 방화벽 규칙을 추가하려면 다음 플래그를 명령어에 추가합니다.
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  공유 VPC에 대한 자세한 내용은 공유 VPC를 사용하여 클러스터 설정을 참조하세요.
- istioctl version 및 istioctl ps 명령어도 사용 설정하려면 다음 명령어를 실행하여 포트 15014 및 8080을 엽니다.
```
gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15014,tcp:8080 \
  --target-tags TARGET
```
  다음을 바꿉니다.
  - CLUSTER_NAME: 클러스터 이름입니다.
  - CONTROL_PLANE_RANGE: 이전에 수집한 클러스터 제어 영역의 IP 주소 범위(masterIpv4CidrBlock)입니다.
  - TARGET: 이전에 수집한 대상(Targets) 값입니다.
  참고: 공유 VPC의 방화벽 규칙을 추가하려면 다음 플래그를 명령어에 추가합니다.
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  공유 VPC에 대한 자세한 내용은 공유 VPC를 사용하여 클러스터 설정을 참조하세요.