Cloud Service Mesh 和 Traffic Director 現已改名為 Cloud Service Mesh。詳情請參閱 Cloud Service Mesh 總覽。

本頁面由 Cloud Translation API 翻譯而成。

在私人叢集上開啟通訊埠

如果您要在私人叢集中安裝叢集內的 Cloud Service Mesh，就必須在防火牆中開啟 15017 通訊埠，才能取得用於自動側邊車注入 (自動注入) 和設定驗證的 webhook。

下列步驟說明如何新增防火牆規則，納入您要開啟的新通訊埠。

找出叢集的來源範圍 (master-ipv4-cidr) 和目標。在下列指令中，將 CLUSTER_NAME 替換為叢集名稱：

gcloud compute firewall-rules list \
    --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

建立防火牆規則。請從下列指令中選擇一個，並將 CLUSTER_NAME 替換為上一個指令中的叢集名稱。
- 如要啟用自動注入功能，請執行下列指令以開啟通訊埠 15017：
```
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15017 \
  --target-tags TARGET
```
  更改下列內容：
  - CLUSTER_NAME：叢集名稱
  - CONTROL_PLANE_RANGE：您先前收集到的叢集控制平面的 IP 位址範圍 (masterIpv4CidrBlock)。
  - TARGET：您先前收集的目標 (Targets) 值。
  注意：如要為共用虛擬私有雲端新增防火牆規則，請在指令中加入下列標記：
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  如要進一步瞭解共用虛擬私人雲端，請參閱「透過共用虛擬私人雲端設定叢集」。
- 如果您也想啟用 istioctl version 和 istioctl ps 指令，請執行下列指令，開啟 15014 和 8080 通訊埠：
```
gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
  --action ALLOW \
  --direction INGRESS \
  --source-ranges CONTROL_PLANE_RANGE \
  --rules tcp:15014,tcp:8080 \
  --target-tags TARGET
```
  更改下列內容：
  - CLUSTER_NAME：叢集名稱
  - CONTROL_PLANE_RANGE：您先前收集到的叢集控制平面的 IP 位址範圍 (masterIpv4CidrBlock)。
  - TARGET：您先前收集的目標 (Targets) 值。
  注意：如要為共用虛擬私有雲端新增防火牆規則，請在指令中加入下列標記：
```
--project HOST_PROJECT_ID
--network NETWORK_ID
```
  如要進一步瞭解共用虛擬私人雲端，請參閱「透過共用虛擬私人雲端設定叢集」。