בדף הזה מוסבר איך להגדיר כללי פרוקסי וחומת אש ל-Google Distributed Cloud (תוכנה בלבד) ל-VMware. הדף הזה מיועד למומחי רשתות שמטמיעים מערכות לאבטחת מידע, כמו חומות אש. מידע נוסף על תפקידים נפוצים ומשימות לדוגמה שאנחנו מתייחסים אליהם בתוכן זמין במאמר תפקידים נפוצים של משתמשי GKE ומשימות. Google Cloud
הוספת כתובות לרשימת ההיתרים של ה-Proxy
אם הארגון שלכם דורש שתעבורה יוצאת תעבור דרך שרת proxy, צריך להוסיף את הכתובות הבאות לרשימת ההיתרים בשרת ה-proxy. שימו לב שצריך את ההרשאה www.googleapis.com ולא את ההרשאה googleapis.com:
- dl.google.com 1
- gcr.io
- us.gcr.io
- www.googleapis.com
- accounts.google.com
- anthos.googleapis.com
- anthosgke.googleapis.com
- cloudresourcemanager.googleapis.com
- compute.googleapis.com
- connectgateway.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com 2
- gkehub.googleapis.com
- gkeonprem.googleapis.com
- gkeonprem.mtls.googleapis.com
- iam.googleapis.com
- iamcredentials.googleapis.com
- kubernetesmetadata.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- opsconfigmonitoring.googleapis.com
- securetoken.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- sts.googleapis.com
- releases.hashicorp.com (אופציונלי) 3
הערות:
1 נדרש על ידי Google Cloud
המתקין של ערכת ה-SDK.dl.google.com
2 אם האשכול נרשם לצי באמצעות Google Cloud אזור, צריך להוסיף לרשימת ההיתרים את REGION-gkeconnect.googleapis.com (לדוגמה, us-central1-gkeconnect.googleapis.com). אם לא צוין אזור, האשכול משתמש במופע הגלובלי של שירות Connect, וצריך להוסיף לרשימת ההיתרים את gkeconnect.googleapis.com. כדי למצוא את המיקום של חברות האשכול ב-Fleet, מריצים את gcloud container fleet memberships list. מידע נוסף זמין במאמר gkeConnect.location.
3 אם אתם לא משתמשים בלקוח Terraform בתחנת העבודה של האדמין כדי להריץ פקודות כמו terraform apply, אתם לא צריכים להוסיף את releases.hashicorp.com לרשימת ההיתרים. אם אתם משתמשים בלקוח Terraform בתחנת העבודה של האדמין, אתם יכולים להוסיף את releases.hashicorp.com לרשימת ההיתרים כדי לבדוק אם גרסת לקוח Terraform שבה אתם משתמשים היא הגרסה העדכנית ביותר. לשם כך, מריצים את הפקודה terraform version.
בנוסף, אם ל-vCenter Server יש כתובת IP חיצונית, צריך להוסיף את הכתובת לרשימת ההיתרים בשרת ה-proxy.
כללי חומת אש עבור אשכולות אדמין
כתובות ה-IP של אשכול האדמין תלויות בשאלה אם Controlplane V2 מופעל באשכול המשתמש ובגרסה שבה האשכול נוצר.
כשמפעילים את Controlplane V2, מישור הבקרה של אשכול משתמשים פועל באשכול המשתמשים עצמו. אם Controlplane V2 לא מופעל, מישור הבקרה של אשכול משתמשים פועל בצומת אחד או יותר באשכול האדמין, וזה נקרא kubeception.
בגרסה 1.28 ואילך, לא קיימים צמתים של תוספים באשכולות חדשים של אדמינים עם זמינות גבוהה.
כתובות ה-IP של צמתים של תוספים באשכול אדמין (אם קיימים) ושל צמתים של מישור הבקרה באשכול משתמשים של kubeception מפורטות בקובץ של בלוק כתובות ה-IP של אשכול האדמין. הצמתים של מישור הבקרה של אשכול האדמין מוגדרים בקטע network.controlPlaneIPBlock.ips בקובץ ההגדרות של אשכול האדמין.
כתובות ה-IP בקובץ של בלוק כתובות ה-IP של אשכול האדמין לא מוקצות לצמתים ספציפיים, ולכן צריך לוודא שכל כללי חומת האש שמפורטים בטבלה הבאה חלים על כל כתובות ה-IP שזמינות לאשכול האדמין.
מגדירים את כללי חומת האש כך שיאפשרו את התעבורה הבאה.
מאת |
יציאת המקור |
אל |
יציאה |
פרוטוקול |
תיאור |
|---|---|---|---|---|---|
|
צומת מישור הבקרה של אדמין קלאסטר |
1024 - 65535 |
vCenter Server API |
443 |
TCP/https |
שינוי הגודל של האשכול. |
|
צמתים של תוספים באשכול אדמין |
1024 - 65535 |
vCenter Server API |
443 |
TCP/https |
ניהול מחזור החיים של אשכול משתמשים. |
|
צמתים של תוספים באשכול אדמין |
32768- 60999 |
כתובת ה-VIP של שרת ה-API של Kubernetes באשכול האדמין כתובות VIP של שרתי Kubernetes API באשכולות משתמשים |
443 |
TCP/https |
יצירה של אשכול משתמשים. עדכון של אשכול משתמשים. שדרוג אשכול משתמשים. מחיקה של אשכול משתמשים. |
|
צמתים של מישור הבקרה באשכול אדמין |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com כל כתובת URL מסוג *.googleapis.com שנדרשת לשירותים שמופעלים עבור אשכולות האדמין או המשתמשים כתובות IP וירטואליות של שרתי Kubernetes API של אשכולות משתמשים כתובת IP וירטואלית של שרת Kubernetes API של אשכול אדמין vCenter Server API Admin cluster F5 BIG_IP API User cluster F5 BIG_IP API Admin cluster NTP servers User cluster NTP servers Admin cluster DNS servers User cluster DNS servers |
443 |
TCP/https |
בדיקות קדם הפעלה (אימות). כשיוצרים, מעדכנים או משדרגים אשכולות משתמשים. כשיוצרים, מעדכנים או משדרגים את אשכול האדמין. |
|
צמתים של מישור הבקרה באשכול אדמין |
32768- 60999 |
מאגר Docker מקומי ב-On-Premises של אשכול משתמשים |
תלוי במרשם |
TCP/https |
בדיקות קדם הפעלה (אימות). הפרמטר הזה נדרש אם קלאסטר משתמשים מוגדר לשימוש במאגר Docker פרטי מקומי במקום ב-gcr.io. כשיוצרים או משדרגים אשכולות של משתמשים. כשיוצרים או משדרגים את אשכול האדמין. |
|
צמתים של מישור הבקרה באשכול אדמין |
32768- 60999 |
צמתים של אשכול אדמין צמתים של אשכול משתמש כתובות IP וירטואליות (VIP) של מאזן עומסים באשכול אדמין כתובות IP וירטואליות (VIP) של מאזן עומסים באשכול משתמש |
icmp |
בדיקות קדם הפעלה (אימות). כשיוצרים, מעדכנים או משדרגים אשכולות משתמשים. כשיוצרים, מעדכנים או משדרגים את אשכול האדמין. |
|
|
צמתים של מישור הבקרה באשכול אדמין |
32768- 60999 |
צמתי עובד באשכול משתמשים |
22 |
SSH |
בדיקות קדם הפעלה (אימות). כשמשדרגים אשכולות משתמשים. כשמשדרגים את אשכול האדמין. |
|
צומת מישור הבקרה של אשכול המשתמשים (kubeception בלבד) |
1024 - 65535 |
vCenter Server API |
443 |
TCP/https |
שינוי הגודל של האשכול. |
|
צומת מישור הבקרה של אשכול המשתמשים (kubeception בלבד) |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com או REGION-gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
נדרשת גישה כדי לרשום את צי הרכבים. אפשר לעיין בהערה 2 אחרי רשימת כתובות ה-URL שצריך להוסיף לרשימת ההיתרים. |
|
צומת מישור הבקרה של אשכול המשתמשים (kubeception בלבד) |
1024 - 65535 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
צומת מישור הבקרה של אשכול המשתמשים (kubeception בלבד) |
1024 - 65535 |
מאגר Docker מקומי באתר |
תלוי במרשם |
TCP/https |
נדרש אם Google Distributed Cloud מוגדר לשימוש במאגר Docker פרטי מקומי במקום ב-gcr.io. |
|
צומת מישור הבקרה של אשכול המשתמשים (kubeception בלבד) |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com כל כתובת URL של *.googleapis.com שנדרשת לשירותים שמופעלים באשכול האדמין |
443 |
TCP/https |
הורדת תמונות ממאגרי Docker ציבוריים. לא נדרש אם משתמשים במאגר Docker פרטי. |
|
Cloud Logging Collector, שפועל בצומת של תוסף באשכול אדמין |
1024 - 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
|
Cloud Metadata Collector, שפועל בצומת של תוסף באשכול אדמין |
1024 - 65535 |
opsconfigmonitoring.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector, שפועל בצומת של תוסף באשכול אדמין |
1024 - 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
|
צומת מישור הבקרה של אדמין קלאסטר |
1024 - 65535 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
צומת מישור הבקרה של אדמין קלאסטר |
1024 - 65535 |
מאגר Docker מקומי באתר |
תלוי במרשם |
TCP/https |
נדרש אם Google Distributed Cloud מוגדר לשימוש במאגר Docker פרטי מקומי במקום ב-gcr.io. |
|
צומת מישור הבקרה של אדמין קלאסטר |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com כל כתובת URL של *.googleapis.com שנדרשת לשירותים שמופעלים באשכול האדמין |
443 |
TCP/https |
הורדת תמונות ממאגרי Docker ציבוריים. לא נדרש אם משתמשים במאגר Docker פרטי. |
|
צמתים של עובדים באשכול אדמין |
1024 - 65535 |
צמתים של עובדים באשכול אדמין |
הכול |
179 - bgp 443 – https 5473 - Calico/Typha 9443 – מדדי Envoy 10250 – יציאה של צומת kubelet |
כל צמתי העובדים צריכים להיות סמוכים בשכבה 2 וללא חומת אש. |
|
צמתים של אשכול אדמין |
1024 - 65535 |
CIDR של פוד באשכול אדמין |
all |
הכול |
תעבורה חיצונית עוברת SNAT בצומת הראשון ונשלחת לכתובת ה-IP של ה-pod. |
|
צמתים של עובדים באשכול אדמין |
all |
צמתים של אשכול משתמש |
22 |
SSH |
נדרש ל-kubeception. תקשורת בין שרת ה-API ל-kubelet דרך מנהרת SSH. אין צורך לבצע את השלב הזה ב-Controlplane V2. |
|
צמתים של אשכול אדמין |
1024 - 65535 |
כתובות ה-IP של מכונות וירטואליות של Seesaw LB באשכול האדמין |
20255,20257 |
TCP/http |
שליחת הגדרות של איזון עומסים ומעקב אחר מדדים. נדרש רק אם משתמשים ב-Bundled LB Seesaw. |
|
צמתים של אשכול אדמין |
1024 - 65535 |
צמתים של אשכול אדמין |
7946 |
TCP/UDP |
בדיקת תקינות של MetalLB. נדרש רק אם אתם משתמשים ב-Bundled LB MetalLB. |
|
צמתים של אשכול אדמין |
הכול |
כתובת IP וירטואלית (VIP) של מישור הבקרה של אשכול משתמשים |
443 |
https |
נדרש ל-Controlplane V2. אפשר לצמתים ול-Pods באשכול האדמין לתקשר עם שרת ה-API של Kubernetes באשכול המשתמש. |
|
צמתים של אשכול אדמין |
הכול |
צמתים של מישור הבקרה באשכול משתמשים |
443 |
https |
נדרש ל-Controlplane V2. אפשר לצמתים ול-Pods באשכול האדמין לתקשר עם שרת ה-API של Kubernetes באשכול המשתמש באמצעות כתובת ה-IP של צומת מישור הבקרה באשכול המשתמש. |
כללי חומת אש לצמתים של אשכול משתמשים
בצמתים של אשכול המשתמשים, כתובות ה-IP שלהם מפורטות בקובץ של טווח כתובות ה-IP.
כמו בצמתים של אשכול האדמין, אתם לא יודעים איזו כתובת IP תשמש לאיזה צומת. לכן, כל הכללים בצמתי אשכולות המשתמשים חלים על כל צומת של אשכול משתמשים.
מאת |
יציאת המקור |
אל |
יציאה |
פרוטוקול |
תיאור |
|---|---|---|---|---|---|
|
צומת מישור הבקרה של אשכול משתמשים (Controlplane V2 בלבד) |
1024 - 65535 |
vCenter Server API |
443 |
TCP/https |
שינוי הגודל של האשכול. |
|
צומת מישור הבקרה של אשכול משתמשים (Controlplane V2 בלבד) |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com או REGION-gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
נדרשת גישה כדי לרשום את צי הרכבים. אפשר לעיין בהערה 2 אחרי רשימת כתובות ה-URL שצריך להוסיף לרשימת ההיתרים. |
|
צומת מישור הבקרה של אשכול משתמשים (Controlplane V2 בלבד) |
1024 - 65535 |
מאגר Docker מקומי באתר |
תלוי במרשם |
TCP/https |
נדרש אם Google Distributed Cloud מוגדר לשימוש במאגר Docker פרטי מקומי במקום ב-gcr.io. |
|
צומת מישור הבקרה של אשכול משתמשים (Controlplane V2 בלבד) |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com כל כתובת URL של *.googleapis.com שנדרשת לשירותים שמופעלים באשכול האדמין |
443 |
TCP/https |
הורדת תמונות ממאגרי Docker ציבוריים. לא נדרש אם משתמשים במאגר Docker פרטי. |
|
צומת מישור הבקרה של אשכול משתמשים (Controlplane V2 בלבד) |
1024 - 65535 |
F5 BIG-IP API |
443 |
TCP/https |
|
| צומת מישור הבקרה של אשכול משתמשים (Controlplane V2 בלבד) | 1024 - 65535 | צמתים של אשכול משתמש | 14443 | TCP | שירות ANG Webhook. חובה אם advancedNetworking מופעל. kube-apiserver מתקשר עם ang-controller-manager כדי לבצע בדיקות גישה. |
|
צמתי עובד באשכול משתמשים |
all |
gcr.io oauth2.googleapis.com storage.googleapis.com כל כתובת URL מסוג *.googleapis.com שנדרשת לשירותים שמופעלים באשכול הזה |
443 |
TCP/https |
הורדת תמונות ממאגרי Docker ציבוריים. לא נדרש אם משתמשים במאגר Docker פרטי. |
|
צמתי עובד באשכול משתמשים |
all |
F5 BIG-IP API |
443 |
TCP/https |
|
|
צמתי עובד באשכול משתמשים |
all |
כתובת ה-IP הווירטואלית של שרת ה-pushprox, שפועל באשכול הניהול. |
8443 |
TCP/https |
תנועה מ-Prometheus. |
|
צמתי עובד באשכול משתמשים |
all |
צמתי עובד באשכול משתמשים |
all |
22 – ssh 179 - bgp 443 – https 5473 - calico-typha 9443 – מדדי Envoy 10250 - kubelet node port" |
כל צמתי העובדים צריכים להיות סמוכים בשכבה 2 וללא חומת אש. |
|
צמתי עובד באשכול משתמשים |
all |
כתובת VIP במישור הבקרה של המשתמש |
443 |
TCP/https |
|
|
צמתי עובד באשכול משתמשים |
הכול |
כתובת VIP במישור הבקרה של המשתמש |
8132 |
GRPC |
נדרש ל-kubeception. חיבור Konnectivity. אין צורך לבצע את השלב הזה ב-Controlplane V2. |
|
צמתים של אשכול אדמין |
הכול |
שרת vCenter של אשכול משתמש |
443 |
https |
מאפשרים לאשכול האדמין לנהל את מחזור החיים של אשכול המשתמשים. נדרש אם לאשכולות האדמין והמשתמש יש שרתי vCenter שונים. |
| צמתים של אשכול אדמין | 1024 - 65535 | צמתים של אשכול משתמש | 14443 | TCP | שירות ANG Webhook. חובה אם advancedNetworking מופעל. kube-apiserver מתקשר עם ang-controller-manager כדי לבצע בדיקות גישה. |
|
צמתים של אשכול משתמש |
1024 - 65535 |
CIDR של פודים באשכול משתמשים |
all |
הכול |
תעבורה חיצונית עוברת SNAT בצומת הראשון ונשלחת לכתובת ה-IP של ה-pod. |
|
Cloud Logging Collector, שפועל בצומת עובד אקראי באשכול משתמשים |
1024 - 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
|
סוכן החיבור, שפועל בצומת עובד של אשכול משתמשים אקראי. |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com או REGION-gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com |
443 |
TCP/https |
תעבורת נתונים של Connect. אחרי רשימת כתובות ה-URL שצריך להוסיף לרשימת ההיתרים, מופיעה הערה 2. |
|
Cloud Metadata Collector, שפועל בצומת עובד אקראי באשכול משתמשים |
1024 - 65535 |
opsconfigmonitoring.googleapis.com kubernetesmetadata.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector, שפועל בצומת עובד של אשכול משתמשים אקראי |
1024 - 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
|
צמתים של אשכול משתמש |
1024 - 65535 |
כתובות ה-IP של מכונות וירטואליות של איזון עומסים ב-Seesaw באשכול המשתמשים |
20255,20257 |
TCP/http |
שליחת הגדרות של איזון עומסים ומעקב אחר מדדים. נדרש רק אם משתמשים ב-Bundled LB Seesaw. |
|
משתמשים באשכול צמתים עם enableLoadBalancer=true |
1024 - 65535 |
משתמשים באשכול צמתים עם enableLoadBalancer=true |
7946 |
TCP/UDP |
בדיקת תקינות של MetalLB. נדרש רק אם אתם משתמשים ב-Bundled LB MetalLB. |
|
רשת של אשכול משתמשים |
all |
כתובת VIP של מישור הבקרה של אשכול משתמשים |
443 |
TCP/https |
כללי חומת אש לרכיבים הנותרים
הכללים האלה חלים על כל הרכיבים האחרים שלא מופיעים בטבלאות של הצמתים באשכול האדמין ובאשכול המשתמשים.
מאת |
יציאת המקור |
אל |
יציאה |
פרוטוקול |
תיאור |
|---|---|---|---|---|---|
|
CIDR של פוד באשכול אדמין |
1024 - 65535 |
CIDR של פוד באשכול אדמין |
all |
הכול |
תעבורת נתונים בין פודים מועברת ישירות ברמה 2 באמצעות כתובות ה-IP של המקור והיעד בתוך ה-CIDR של הפוד. |
|
CIDR של פוד באשכול אדמין |
1024 - 65535 |
צמתים של אשכול אדמין |
all |
הכול |
תנועה חוזרת של תנועה חיצונית. |
|
CIDR של פודים באשכול משתמשים |
1024 - 65535 |
CIDR של פודים באשכול משתמשים |
all |
הכול |
תעבורת נתונים בין פודים מועברת ישירות ברמה 2 באמצעות כתובות ה-IP של המקור והיעד בתוך ה-CIDR של הפוד. |
|
CIDR של פודים באשכול משתמשים |
1024 - 65535 |
צמתים של אשכול משתמש |
all |
הכול |
תנועה חוזרת של תנועה חיצונית. |
|
לקוחות ומשתמשי קצה של אפליקציות |
all |
כתובת VIP של Istio ingress |
80, 443 |
TCP |
תנועת גולשים של משתמשי קצה לשירות הכניסה של אשכול משתמשים. |
|
שרת קפיצה לפריסת תחנת העבודה של האדמין |
טווח יציאות זמניות |
vCenter Server API כתובות ה-IP של ESXi VMkernel (mgt) של המארחים באשכול היעד |
443 |
TCP/https |
בודקים את טווח היציאות האפמריות באמצעות הפקודה `cat /proc/sys/net/ipv4/ip_local_port_range`. |
|
תחנת עבודה לאדמין |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Any *.googleapis.com URL required for the services enabled for this cluster |
443 |
TCP/https |
הורדה של קובצי אימג' של Docker ממאגרי Docker ציבוריים. |
|
תחנת עבודה לאדמין |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com כל כתובת URL מסוג *.googleapis.com שנדרשת לשירותים שמופעלים עבור אשכולות האדמין או המשתמשים כתובות IP וירטואליות של שרתי Kubernetes API של אשכולות משתמשים כתובת IP וירטואלית של שרת Kubernetes API של אשכול אדמין vCenter Server API F5 BIG-IP API |
443 |
TCP/https |
בדיקות קדם הפעלה (אימות). כשיוצרים, מעדכנים, משדרגים או מוחקים אשכולות באמצעות |
|
תחנת עבודה לאדמין |
32768- 60999 |
vCenter Server API F5 BIG-IP API |
443 |
TCP/https |
יצירת אשכול אדמין. יצירה של אשכול משתמשים. |
|
תחנת עבודה לאדמין |
32768- 60999 |
כתובות ה-IP של ESXi VMkernel (mgt) של המארחים באשכול היעד |
443 |
TCP/https |
תחנת העבודה של האדמין מעלה את קובץ ה-OVA למאגר הנתונים דרך המארחים של ESXi. |
|
תחנת עבודה לאדמין |
32768- 60999 |
כתובת ה-VIP של שרת ה-API של Kubernetes באשכול האדמין כתובות VIP של שרתי Kubernetes API באשכולות משתמשים |
443 |
TCP/https |
יצירת אשכול אדמין. עדכון של אשכול Admin. יצירה של אשכול משתמשים. עדכון של אשכול משתמשים. מחיקה של אשכול משתמשים. |
|
תחנת עבודה לאדמין |
32768- 60999 |
צומת מישור הבקרה וצומתי העובדים באשכול האדמין |
443 |
TCP/https |
יצירת אשכול אדמין. שדרוגים של מישור הבקרה. |
|
תחנת עבודה לאדמין |
32768- 60999 |
כל הצמתים באשכול הניהול וכל הצמתים באשכול המשתמשים |
443 |
TCP/https |
אימות הרשת כחלק מהפקודה |
|
תחנת עבודה לאדמין |
32768- 60999 |
כתובת ה-VIP של תעבורת הנתונים הנכנסת (ingress) של Istio באשכול האדמין כתובת ה-IP הווירטואלית של תעבורת ה-ingress של Istio באשכולות משתמשים |
443 |
TCP/https |
אימות הרשת כחלק מהפקודה |
|
תחנת עבודה לאדמין |
32768- 60999 |
oauth2.googleapis.com logging.googleapis.com monitoring.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
גישה לרישום ביומן ולמעקב ב-Cloud. |
|
תחנת עבודה לאדמין |
32768- 60999 |
כתובות ה-IP של מכונות וירטואליות של Seesaw LB באשכולות של אדמינים ומשתמשים כתובות ה-VIP של איזון העומסים ב-Seesaw של אשכולות האדמין והמשתמשים |
20256,20258 |
TCP/http/gRPC |
בדיקת תקינות של איזוני עומסים. נדרש רק אם משתמשים ב-Bundled LB Seesaw. |
|
תחנת עבודה לאדמין |
32768- 60999 |
כתובת ה-IP של הצומת במישור הבקרה של האשכול |
22 |
TCP |
נדרש אם אתם צריכים גישת SSH מתחנת העבודה של האדמין למישור הבקרה של אשכול האדמין. |
| תחנת עבודה לאדמין | 32768- 60999 | releases.hashicorp.com | 443 | TCP/https | זה שינוי אופציונלי. אחרי רשימת כתובות ה-URL שצריך להוסיף לרשימת ההיתרים, מופיעה הערה 3. |
|
כתובות IP של מכונות וירטואליות של LB |
32768- 60999 |
כתובות ה-IP של הצמתים באשכול המתאים |
10256: בדיקת תקינות של צומת |
TCP/http |
בדיקת תקינות של הצומת. healthCheckNodePort מיועד לשירותים שבהם הערך של externalTrafficPolicy הוא Local. נדרש רק אם משתמשים ב-Bundled LB Seesaw. |
|
F5 Self-IP |
1024 - 65535 |
כל הצמתים באשכולות של מנהלים ומשתמשים |
30000 - 32767 |
הכול |
לתעבורה במישור הנתונים שמאוזנת על ידי F5 BIG-IP באמצעות שרת וירטואלי VIP ליציאות הצמתים בצמתים של אשכול Kubernetes. בדרך כלל, כתובת ה-IP העצמית של F5 נמצאת באותה רשת או באותה רשת משנה כמו הצמתים של אשכול Kubernetes. |