Como abrir portas em um cluster particular
Se você estiver instalando o Cloud Service Mesh no cluster em um cluster particular, abra a porta 15017 no firewall para receber os webhooks usados com injeção automática de sidecar (injeção automática) e validação de configuração para funcionar.
As etapas a seguir descrevem como adicionar uma regra de firewall para incluir as novas portas que você quer abrir.
Encontre o intervalo de origem (
master-ipv4-cidr) e os destinos do cluster. No comando a seguir, substituaCLUSTER_NAMEpelo nome do cluster:gcloud compute firewall-rules list \ --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \ --format 'table( name, network, direction, sourceRanges.list():label=SRC_RANGES, allowed[].map().firewall_rule().list():label=ALLOW, targetTags.list():label=TARGET_TAGS )'Crie a regra de firewall. Escolha um dos comandos a seguir e substitua
CLUSTER_NAMEpelo nome do cluster do comando anterior.Para ativar a injeção automática, execute o seguinte comando para abrir a porta 15017:
gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15017 \ --target-tags TARGET
Substitua:
CLUSTER_NAME: o nome do clusterCONTROL_PLANE_RANGE: o intervalo de endereços IP do plano de controle de cluster (masterIpv4CidrBlock) coletado anteriormente.TARGET: é o valor de destino (Targets) coletado anteriormente.
Se você também quiser ativar os comandos
istioctl versioneistioctl ps, execute o seguinte comando para abrir as portas 15014 e 8080:gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \ --action ALLOW \ --direction INGRESS \ --source-ranges CONTROL_PLANE_RANGE \ --rules tcp:15014,tcp:8080 \ --target-tags TARGET
Substitua:
CLUSTER_NAME: o nome do clusterCONTROL_PLANE_RANGE: o intervalo de endereços IP do plano de controle de cluster (masterIpv4CidrBlock) coletado anteriormente.TARGET: é o valor de destino (Targets) coletado anteriormente.