Auf dieser Seite wird gezeigt, wie Sie Proxy- und Firewallregeln für Google Distributed Cloud (nur Software) für VMware einrichten. Diese Seite richtet sich an Netzwerkexperten, die Datensicherheitssysteme wie Firewalls implementieren. Weitere Informationen zu gängigen Rollen und Beispielaufgaben, auf die wir in Google Cloud -Inhalten verweisen, finden Sie unter Häufig verwendete GKE-Nutzerrollen und -Aufgaben.
Adressen für Ihren Proxy auf die Zulassungsliste setzen
Wenn in Ihrer Organisation ausgehender Traffic einen Proxyserver passieren muss, setzen Sie die folgenden Adressen auf die Zulassungsliste für den Proxyserver: Beachten Sie, dass www.googleapis.com anstelle von googleapis.com benötigt wird:
- dl.google.com 1
- gcr.io
- www.googleapis.com
- accounts.google.com
- anthos.googleapis.com
- anthosgke.googleapis.com
- cloudresourcemanager.googleapis.com
- compute.googleapis.com
- connectgateway.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com 2
- gkehub.googleapis.com
- gkeonprem.googleapis.com
- gkeonprem.mtls.googleapis.com
- iam.googleapis.com
- iamcredentials.googleapis.com
- kubernetesmetadata.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- opsconfigmonitoring.googleapis.com
- securetoken.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- sts.googleapis.com
- releases.hashicorp.com (optional) 3
Hinweise:
1 dl.google.com ist für das Installationsprogramm des Google Cloud-SDK erforderlich.
2 Wenn Ihr Cluster über eine Google Cloud -Region bei der Flotte registriert wurde, müssen Sie REGION-gkeconnect.googleapis.com auf die Zulassungsliste setzen (z. B. us-central1-gkeconnect.googleapis.com). Wenn Sie keine Region angegeben haben, verwendet der Cluster die globale Connect-Dienstinstanz und Sie setzen gkeconnect.googleapis.com auf die Zulassungsliste. Wenn Sie den Standort der Flottenmitgliedschaft für Ihren Cluster ermitteln müssen, führen Sie gcloud container fleet memberships list aus. Weitere Informationen finden Sie unter gkeConnect.location.
3: Wenn Sie den Terraform-Client auf Ihrer Administrator-Workstation nicht verwenden, um Befehle wie terraform apply auszuführen, müssen Sie releases.hashicorp.com nicht auf die Zulassungsliste setzen. Wenn Sie den Terraform-Client auf Ihrer Administrator-Workstation verwenden, können Sie optional releases.hashicorp.com auf die Zulassungsliste setzen, damit Sie mit dem Befehl terraform version prüfen können, ob die von Ihnen verwendete Terraform-Clientversion die aktuelle ist.
Wenn außerdem Ihr vCenter-Server eine externe IP-Adresse hat, setzen Sie diese Adresse auf die Zulassungsliste für den Proxyserver.
Firewallregeln für Admin-Cluster
Die IP-Adressen des Administratorclusters hängen davon ab, ob Controlplane V2 im Nutzercluster aktiviert ist und in welcher Version der Cluster erstellt wurde.
Wenn Controlplane V2 aktiviert ist, wird die Steuerungsebene für einen Nutzercluster im Nutzercluster selbst ausgeführt. Wenn Controlplane V2 nicht aktiviert ist, wird die Steuerungsebene für einen Nutzercluster auf einem oder mehreren Knoten im Administratorcluster ausgeführt. Dies wird als Kubeception bezeichnet.
Ab Version 1.28 haben neue HA-Administratorcluster keine Add-on-Knoten.
Die IP-Adressen der Add-on-Knoten des Administratorclusters (falls vorhanden) und der Knoten der Steuerungsebene des Nutzerclusters von Kubeception sind in der IP-Blockdatei des Administratorclusters aufgeführt. Die Knoten der Steuerungsebene des Administratorclusters werden im Abschnitt network.controlPlaneIPBlock.ips der Konfigurationsdatei des Administratorclusters konfiguriert.
Da die IP-Adressen in der IP-Blockdatei des Administratorclusters keinen bestimmten Knoten zugewiesen sind, müssen Sie dafür sorgen, dass alle in der folgenden Tabelle aufgeführten Firewallregeln für alle IP-Adressen gelten, die für den Administratorcluster verfügbar sind.
Richten Sie Ihre Firewallregeln so ein, dass der folgende Traffic zugelassen wird.
Von |
Quellport |
Bis |
Port |
Protokoll |
Beschreibung |
|---|---|---|---|---|---|
|
Knoten der Administratorcluster-Steuerungsebene |
1024 – 65535 |
vCenter Server API |
443 |
TCP/https |
Größenanpassung für Cluster |
|
Add-on-Knoten für Administratorcluster |
1024 – 65535 |
vCenter Server API |
443 |
TCP/https |
Verwaltung des Nutzercluster-Lebenszyklus |
|
Add-on-Knoten für Administratorcluster |
32768 – 60999 |
VIP des Kubernetes-API-Servers des Administratorclusters VIPs der Kubernetes-API-Server von Nutzerclustern |
443 |
TCP/https |
Nutzercluster erstellen Nutzercluster wurde aktualisiert. Nutzercluster wurde aktualisiert. Nutzercluster wurde gelöscht. |
|
Knoten der Administratorcluster-Steuerungsebene |
32768 – 60999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die aktivierten Dienste des Administrator- oder Nutzerclusters erforderlich sind VIPs der Kubernetes API-Server der Nutzercluster VIP des Kubernetes API-Servers des Administratorclusters vCenter Server API F5 BIG_IP API des Administratorclusters F5 BIG_IP API des Nutzerclusters NTP-Server des Administratorclusters NTP-Server des Nutzerclusters DNS-Server des Administratorclusters DNS-Server des Nutzerclusters |
443 |
TCP/https |
Preflight-Prüfungen (Validierung) Wenn Sie Nutzercluster erstellen, aktualisieren oder ein Upgrade durchführen. Wenn Sie den Administratorcluster erstellen, aktualisieren oder ein Upgrade durchführen. |
|
Knoten der Steuerungsebene des Administratorclusters |
32768 – 60999 |
Lokale Docker-Registry vor Ort im Nutzercluster |
Hängt von Ihrer Registry ab |
TCP/https |
Preflight-Prüfungen (Validierung) Erforderlich, wenn ein Nutzercluster für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist. Wenn Sie Nutzercluster erstellen oder aktualisieren. Wenn Sie Administratorcluster erstellen oder aktualisieren. |
|
Knoten der Administratorcluster-Steuerungsebene |
32768 – 60999 |
Administratorclusterknoten Nutzerclusterknoten VIPs des Administratorcluster-Load-Balancers VIPs des Nutzercluster-Load-Balancers |
icmp |
Preflight-Prüfungen (Validierung) Wenn Sie Nutzercluster erstellen, aktualisieren oder ein Upgrade durchführen. Wenn Sie den Administratorcluster erstellen, aktualisieren oder ein Upgrade durchführen. |
|
|
Knoten der Administratorcluster-Steuerungsebene |
32768 – 60999 |
Nutzercluster-Worker-Knoten |
22 |
ssh |
Preflight-Prüfungen (Validierung) Wenn Sie ein Upgrade für Nutzercluster durchführen. Wenn Sie ein Upgrade des Administratorclusters durchführen. |
|
Knoten der Nutzercluster-Steuerungsebene (nur Kubeception) |
1024 – 65535 |
vCenter Server API |
443 |
TCP/https |
Größenanpassung für Cluster |
|
Knoten der Nutzercluster-Steuerungsebene (nur Kubeception) |
1024 – 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com oder REGION-gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
Zugriff auf die Flottenregistrierung ist erforderlich. Weitere Informationen finden Sie in Hinweis 2 nach der Liste der URLs, die der Zulassungsliste hinzugefügt werden sollen. |
|
Knoten der Nutzercluster-Steuerungsebene (nur Kubeception) |
1024 – 65535 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
Knoten der Nutzercluster-Steuerungsebene (nur Kubeception) |
1024 – 65535 |
Lokale Docker-Registry |
Hängt von Ihrer Registry ab |
TCP/https |
Erforderlich, wenn Google Distributed Cloud für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist. |
|
Knoten der Nutzercluster-Steuerungsebene (nur Kubeception) |
1024 – 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für den Administratorcluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
|
Cloud Logging Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird |
1024 – 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
|
Cloud Metadata Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird |
1024 – 65535 |
opsconfigmonitoring.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector, der auf einem Administratorcluster-Add-on-Knoten ausgeführt wird |
1024 – 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
|
Knoten der Administratorcluster-Steuerungsebene |
1024 – 65535 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
Knoten der Administratorcluster-Steuerungsebene |
1024 – 65535 |
Lokale Docker-Registry |
Hängt von Ihrer Registry ab |
TCP/https |
Erforderlich, wenn Google Distributed Cloud für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist. |
|
Knoten der Administratorcluster-Steuerungsebene |
1024 – 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für den Administratorcluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
|
Administratorcluster-Worker-Knoten |
1024 – 65535 |
Administratorcluster-Worker-Knoten |
Alle |
179 – bgp 443 – https 5473 – Calico/Typha 9443 – Envoy-Messwerte 10250 – Kubelet-Knotenport |
Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben. |
|
Administratorcluster-Knoten |
1024 – 65535 |
Administratorcluster-Pod-CIDR |
Alle |
Beliebig |
Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet. |
|
Administratorcluster-Worker-Knoten |
Alle |
Nutzerclusterknoten |
22 |
ssh |
Erforderlich für Kubeception. API-Server für Kubelet-Kommunikation über einen SSH-Tunnel. Dieser Schritt sollte für Controlplane V2 übersprungen werden. |
|
Administratorcluster-Knoten |
1024 – 65535 |
IP-Adressen der Seesaw-LB-VMs des Administratorclusters |
20255, 20257 |
TCP/http |
LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden |
|
Administratorcluster-Knoten |
1024 – 65535 |
Administratorcluster-Knoten |
7946 |
TCP/UDP |
MetalLB-Systemdiagnose Nur erforderlich, wenn Sie die Bundled LB MetalLB verwenden. |
|
Administratorcluster-Knoten |
Alle |
VIP der Steuerungsebene des Nutzerclusters |
443 |
https |
Erforderlich für Controlplane V2. Erlauben Sie Knoten und Pods im Administratorcluster, mit dem Kubernetes API-Server des Nutzerclusters zu kommunizieren. |
|
Administratorcluster-Knoten |
Alle |
Knoten für die Steuerungsebene des Nutzerclusters |
443 |
https |
Erforderlich für Controlplane V2. Erlauben Sie Knoten und Pods im Administratorcluster, mit dem Kubernetes API-Server des Nutzerclusters zu kommunizieren, indem Sie die IP-Adresse eines Knotens der Steuerungsebene des Nutzerclusters verwenden. |
Firewallregeln für Nutzerclusterknoten
Die IP-Adressen der Nutzercluster werden in der IP-Blockdatei aufgeführt.
Wie bei den Knoten eines Administratorclusters wissen Sie nicht, welche IP-Adresse für welchen Knoten verwendet wird. Folglich gelten alle Regeln in den Nutzerclusterknoten für jeden Nutzerclusterknoten.
Von |
Quellport |
Bis |
Port |
Protokoll |
Beschreibung |
|---|---|---|---|---|---|
|
Knoten der Steuerungsebene des Nutzerclusters (nur Controlplane V2) |
1024 – 65535 |
vCenter Server API |
443 |
TCP/https |
Größenanpassung für Cluster |
|
Knoten der Steuerungsebene des Nutzerclusters (nur Controlplane V2) |
1024 – 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com oder REGION-gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
Zugriff auf die Flottenregistrierung ist erforderlich. Weitere Informationen finden Sie in Hinweis 2 nach der Liste der URLs, die der Zulassungsliste hinzugefügt werden sollen. |
|
Knoten der Steuerungsebene des Nutzerclusters (nur Controlplane V2) |
1024 – 65535 |
Lokale Docker-Registry |
Hängt von Ihrer Registry ab |
TCP/https |
Erforderlich, wenn Google Distributed Cloud für die Verwendung einer lokalen privaten Docker-Registry anstelle von gcr.io konfiguriert ist. |
|
Knoten der Steuerungsebene des Nutzerclusters (nur Controlplane V2) |
1024 – 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für den Administratorcluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
|
Knoten der Steuerungsebene des Nutzerclusters (nur Controlplane V2) |
1024 – 65535 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
Nutzercluster-Worker-Knoten |
Alle |
gcr.io oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für diesen Cluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Images aus öffentlichen Docker-Registrys herunterladen Nicht erforderlich, wenn eine private Docker-Registry verwendet wird |
|
Nutzercluster-Worker-Knoten |
Alle |
F5 BIG-IP API |
443 |
TCP/https |
|
|
Nutzercluster-Worker-Knoten |
Alle |
VIP des pushprox-Servers, der im Administratorcluster ausgeführt wird |
8443 |
TCP/https |
Prometheus-Traffic |
|
Nutzercluster-Worker-Knoten |
Alle |
Nutzercluster-Worker-Knoten |
Alle |
22 – ssh 179 – bgp 443 – https 5473 – Calico/Typha 9443 – Envoy-Messwerte 10250 – Kubelet-Knotenport |
Alle Worker-Knoten müssen an Ebene 2 angrenzen und dürfen keine Firewall haben. |
|
Nutzercluster-Worker-Knoten |
Alle |
VIP der Nutzersteuerungsebene |
443 |
TCP/https |
|
|
Nutzercluster-Worker-Knoten |
Alle |
VIP der Nutzersteuerungsebene |
8132 |
GRPC |
Erforderlich für Kubeception. Konnektivitätsverbindung. Dieser Schritt sollte für Controlplane V2 übersprungen werden. |
|
Administratorcluster-Knoten |
Alle |
vCenter-Server für Nutzercluster |
443 |
https |
Administratorcluster den Lebenszyklus des Nutzerclusters verwalten lassen Erforderlich, wenn der Administrator- und der Nutzercluster unterschiedliche vCenter-Server haben. |
|
Nutzerclusterknoten |
1024 – 65535 |
Nutzercluster-Pod-CIDR |
Alle |
Beliebig |
Für externen Traffic wird auf dem ersten Knoten eine SNAT (Source Network Address Translation) durchgeführt und der Traffic wird an die Pod-IP-Adresse gesendet. |
|
Cloud Logging Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
1024 – 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
|
Connect Agent, das auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
1024 – 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com oder REGION-gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com |
443 |
TCP/https |
Connect-Traffic Weitere Informationen finden Sie in Hinweis 2 nach der Liste der URLs, die der Zulassungsliste hinzugefügt werden sollen. |
|
Cloud Metadata Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
1024 – 65535 |
opsconfigmonitoring.googleapis.com kubernetesmetadata.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector, der auf einem zufälligen Nutzercluster-Worker-Knoten ausgeführt wird |
1024 – 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
|
Nutzerclusterknoten |
1024 – 65535 |
IP-Adressen der Seesaw-LB-VMs des Nutzerclusters |
20255, 20257 |
TCP/http |
LB-Konfigurations-Push und Messwert-Monitoring. Nur erforderlich, wenn Sie die Bundled LB Seesaw verwenden |
|
Nutzerclusterknoten mit enableLoadBalancer=true |
1024 – 65535 |
Nutzerclusterknoten mit enableLoadBalancer=true |
7946 |
TCP/UDP |
MetalLB-Systemdiagnose Nur erforderlich, wenn Sie die Bundled LB MetalLB verwenden. |
|
Nutzerclusternetzwerk |
Alle |
VIP der Steuerungsebene des Nutzerclusters |
443 |
TCP/https |
Firewallregeln für die verbleibenden Komponenten
Diese Regeln gelten für alle anderen Komponenten, die in den Tabellen für den Administratorcluster und die Nutzerclusterknoten nicht aufgeführt sind.
Von |
Quellport |
Bis |
Port |
Protokoll |
Beschreibung |
|---|---|---|---|---|---|
|
Administratorcluster-Pod-CIDR |
1024 – 65535 |
Administratorcluster-Pod-CIDR |
Alle |
Beliebig |
Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR. |
|
Administratorcluster-Pod-CIDR |
1024 – 65535 |
Administratorcluster-Knoten |
Alle |
Beliebig |
Rücktraffic des externen Traffics |
|
Nutzercluster-Pod-CIDR |
1024 – 65535 |
Nutzercluster-Pod-CIDR |
Alle |
Beliebig |
Bei Traffic zwischen Pods erfolgt die Ebene-2-Weiterleitung direkt über die Quell- und Ziel-IP-Adresse im Pod-CIDR. |
|
Nutzercluster-Pod-CIDR |
1024 – 65535 |
Nutzerclusterknoten |
Alle |
Beliebig |
Rücktraffic des externen Traffics |
|
Clients und Endnutzer von Anwendungen |
Alle |
VIP des eingehenden Istio-Traffics |
80, 443 |
TCP |
Endnutzer-Traffic zum Dienst für eingehenden Traffic eines Nutzerclusters |
|
Jump-Server zum Bereitstellen der Administrator-Workstation |
Siitzungspezifischer Portbereich |
vCenter Server API ESXi-VMkernel-IP-Adressen (Verwaltung) von Hosts im Zielcluster |
443 |
TCP/https |
Sitzungsspezifischen Portbereich aus „cat /proc/sys/net/ipv4/ip_local_port_range“ prüfen. |
|
Administratorworkstation |
32768 – 60999 |
gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für die für diesen Cluster aktivierten Dienste erforderlich sind |
443 |
TCP/https |
Docker-Images aus öffentlichen Docker-Registries herunterladen |
|
Administratorworkstation |
32768 – 60999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Alle *.googleapis.com-URLs, die für aktivierten Dienste des Administrator- oder Nutzerclusters erforderlich sind VIPs der Kubernetes API-Server der Nutzercluster VIP des Kubernetes API-Servers des Administratorclusters vCenter Server API F5 BIG-IP API |
443 |
TCP/https |
Preflight-Prüfungen (Validierung) Wenn Sie Cluster mit |
|
Administratorworkstation |
32768 – 60999 |
vCenter Server API F5 BIG-IP API |
443 |
TCP/https |
Administratorcluster wurde erstellt. Nutzercluster erstellen |
|
Administratorworkstation |
32768 – 60999 |
ESXi-VMkernel-IP-Adressen (Verwaltung) von Hosts im Zielcluster |
443 |
TCP/https |
Die Administrator-Workstation lädt die OVA-Datei über die ESXi-Hosts in den Datenspeicher hoch. |
|
Administratorworkstation |
32768 – 60999 |
VIP des Kubernetes-API-Servers des Administratorclusters VIPs der Kubernetes-API-Server von Nutzerclustern |
443 |
TCP/https |
Administratorcluster wurde erstellt. Administratorcluster wurde aktualisiert. Nutzercluster erstellen Nutzercluster wurde aktualisiert. Nutzercluster wurde gelöscht. |
|
Administratorworkstation |
32768 – 60999 |
Knoten und Worker-Knoten der Administratorcluster-Steuerungsebene |
443 |
TCP/https |
Administratorcluster wurde erstellt. Aktualisierungen der Steuerungsebene |
|
Administratorworkstation |
32768 – 60999 |
Alle Administratorcluster-Knoten und alle Nutzercluster-Knoten |
443 |
TCP/https |
Netzwerkvalidierung als Teil des Befehls |
|
Administratorworkstation |
32768 – 60999 |
VIP des eingehenden Istio-Traffics des Administratorclusters VIP des eingehenden Istio-Traffics von Nutzerclustern |
443 |
TCP/https |
Netzwerkvalidierung als Teil des Befehls |
|
Administratorworkstation |
32768 – 60999 |
oauth2.googleapis.com logging.googleapis.com stackdriver.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
Zugriff auf Cloud Logging und Monitoring. |
|
Administratorworkstation |
32768 – 60999 |
IP-Adressen der Seesaw-LB-VMs in Administrator- und Nutzerclustern Seesaw-LB-VIPs von Administrator- und Nutzerclustern |
20256, 20258 |
TCP/http/gRPC |
Systemdiagnose von lokalen LBs. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden |
|
Administratorworkstation |
32768 – 60999 |
Knoten-IP der Cluster-Steuerungsebene |
22 |
TCP |
Erforderlich, wenn Sie von der Administratorworkstation aus SSH-Zugriff auf die Administratorcluster-Steuerungsebene benötigen. |
| Administratorworkstation | 32768 – 60999 | releases.hashicorp.com | 443 | TCP/https | Optional. Weitere Informationen finden Sie in Hinweis 3 nach der Liste der URLs, die der Zulassungsliste hinzugefügt werden sollen. |
|
LB-VM-IP-Adressen |
32768 – 60999 |
Knoten-IP-Adressen des entsprechenden Clusters |
10256: Knoten-Systemdiagnose |
TCP/http |
Knoten-Systemdiagnose. healthCheckNodePort ist für Dienste bestimmt, bei denen externalTrafficPolicy auf "Local" gesetzt ist. Nur erforderlich, wenn Sie Bundled LB Seesaw verwenden |
|
F5-Self-IP |
1024 – 65535 |
Alle Administrator- und Nutzercluster-Knoten |
30000 bis 32767 |
Beliebig |
Für den Traffic auf Datenebene, für den F5 BIG-IP über eine VIP eines virtuellen Servers ein Load-Balancing zu den Knotenports auf den Kubernetes-Clusterknoten durchführt In der Regel befindet sich die F5-Selbst-IP im selben Netzwerk/Subnetz wie die Kubernetes-Clusterknoten. |