בדף הזה מוסבר איך להגדיר כללי פרוקסי וחומת אש ל-Google Distributed Cloud (תוכנה בלבד) ל-VMware. הדף הזה מיועד למומחי רישות שמטמיעים מערכות לאבטחת מידע, כמו חומות אש. מידע נוסף על תפקידים נפוצים ומשימות לדוגמה שאנחנו מתייחסים אליהם בתוכן זמין במאמר תפקידים נפוצים של משתמשי GKE ומשימות. Google Cloud
הוספת כתובות לרשימת ההיתרים של ה-Proxy
אם הארגון שלכם דורש שתעבורה יוצאת תעבור דרך שרת proxy, צריך להוסיף את הכתובות הבאות לרשימת ההיתרים בשרת ה-proxy. שימו לב שצריך את ההרשאה www.googleapis.com ולא את ההרשאה googleapis.com:
- dl.google.com 1
- gcr.io
- www.googleapis.com
- accounts.google.com
- anthos.googleapis.com
- anthosgke.googleapis.com
- cloudresourcemanager.googleapis.com
- compute.googleapis.com
- connectgateway.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com 2
- gkehub.googleapis.com
- gkeonprem.googleapis.com
- gkeonprem.mtls.googleapis.com
- iam.googleapis.com
- iamcredentials.googleapis.com
- kubernetesmetadata.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- opsconfigmonitoring.googleapis.com
- securetoken.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- sts.googleapis.com
- releases.hashicorp.com (אופציונלי) 3
הערות:
1 נדרש dl.google.com על ידי Google Cloud
התוכנה להתקנת SDK.
2 אם האשכול נרשם לצי באמצעות Google Cloud אזור, צריך להוסיף לרשימת ההיתרים את REGION-gkeconnect.googleapis.com (לדוגמה, us-central1-gkeconnect.googleapis.com). אם לא צוין אזור, האשכול משתמש במופע הגלובלי של שירות Connect, וצריך להוסיף לרשימת ההיתרים את gkeconnect.googleapis.com. אם אתם צריכים למצוא את המיקום של חברות האשכול שלכם ב-Fleet, מריצים את gcloud container fleet memberships list. מידע נוסף זמין במאמר gkeConnect.location.
3 אם אתם לא משתמשים בלקוח Terraform בתחנת העבודה של האדמין כדי להריץ פקודות כמו terraform apply, אתם לא צריכים להוסיף את releases.hashicorp.com לרשימת ההיתרים. אם אתם משתמשים בלקוח Terraform בתחנת העבודה של האדמין, אתם יכולים להוסיף את releases.hashicorp.com לרשימת ההיתרים כדי לבדוק אם גרסת לקוח Terraform שבה אתם משתמשים היא הגרסה העדכנית ביותר. לשם כך, מריצים את הפקודה terraform version.
בנוסף, אם ל-vCenter Server יש כתובת IP חיצונית, צריך להוסיף את הכתובת לרשימת ההיתרים בשרת ה-proxy.
כללי חומת אש עבור אשכולות אדמין
כתובות ה-IP של אשכול האדמין תלויות בשאלה אם Controlplane V2 מופעל באשכול המשתמשים ובגרסה שבה האשכול נוצר.
כשמפעילים את Controlplane V2, מישור הבקרה של אשכול משתמשים פועל באשכול המשתמשים עצמו. אם Controlplane V2 לא מופעל, מישור הבקרה של אשכול משתמשים פועל בצומת אחד או יותר באשכול האדמין, וזה נקרא kubeception.
בגרסה 1.28 ואילך, לא קיימים צמתים של תוספים באשכולות אדמין חדשים של HA.
כתובות ה-IP של צמתי תוספים באשכול אדמין (אם קיימים) ושל צמתי מישור הבקרה באשכול משתמש kubeception מפורטות בקובץ של מקטע כתובות ה-IP של אשכול האדמין. הצמתים של מישור הבקרה של אשכול האדמין מוגדרים בקטע network.controlPlaneIPBlock.ips בקובץ התצורה של אשכול האדמין.
כתובות ה-IP בקובץ של בלוק כתובות ה-IP של אשכול האדמין לא מוקצות לצמתים ספציפיים, ולכן צריך לוודא שכל כללי חומת האש שמפורטים בטבלה הבאה חלים על כל כתובות ה-IP שזמינות לאשכול האדמין.
מגדירים את כללי חומת האש כך שיאפשרו את התנועה הבאה.
מאת |
יציאת המקור |
אל |
יציאה |
פרוטוקול |
תיאור |
|---|---|---|---|---|---|
|
צומת מישור הבקרה של אדמין קלאסטר |
1024 - 65535 |
vCenter Server API |
443 |
TCP/https |
שינוי הגודל של האשכול. |
|
צמתים של תוספים באשכול אדמין |
1024 - 65535 |
vCenter Server API |
443 |
TCP/https |
ניהול מחזור החיים של אשכולות משתמשים. |
|
צמתים של תוספים באשכול אדמין |
32768- 60999 |
כתובת ה-VIP של שרת ה-API של Kubernetes באשכול הניהול כתובות IP וירטואליות של שרתי Kubernetes API באשכולות משתמשים |
443 |
TCP/https |
יצירה של אשכול משתמשים. עדכון של אשכול משתמשים. שדרוג של אשכול משתמשים. מחיקת אשכול משתמשים. |
|
צמתים של מישור הבקרה באשכול אדמין |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com כל כתובת URL מסוג *.googleapis.com שנדרשת לשירותים שמופעלים עבור אשכולות האדמין או המשתמשים כתובות IP וירטואליות של שרתי Kubernetes API של אשכולות משתמשים כתובת IP וירטואלית של שרת Kubernetes API של אשכול אדמין vCenter Server API Admin cluster F5 BIG_IP API User cluster F5 BIG_IP API Admin cluster NTP servers User cluster NTP servers Admin cluster DNS servers User cluster DNS servers |
443 |
TCP/https |
בדיקות קדם הפעלה (אימות). כשיוצרים, מעדכנים או משדרגים אשכולות משתמשים. כשיוצרים, מעדכנים או משדרגים את אשכול האדמין. |
|
צמתים של מישור הבקרה באשכול אדמין |
32768- 60999 |
מאגר Docker מקומי בפריסה מקומית של אשכול משתמשים |
תלוי במרשם שלכם |
TCP/https |
בדיקות קדם הפעלה (אימות). הפרמטר הזה נדרש אם קלאסטר משתמשים מוגדר לשימוש במאגר Docker פרטי מקומי במקום ב-gcr.io. כשיוצרים או משדרגים אשכולות של משתמשים. כשיוצרים או משדרגים את אשכול האדמין. |
|
צמתים של מישור הבקרה באשכול אדמין |
32768- 60999 |
צמתים של אשכול אדמין צמתים של אשכול משתמש כתובות IP וירטואליות (VIP) של מאזן עומסים באשכול אדמין כתובות IP וירטואליות (VIP) של מאזן עומסים באשכול משתמש |
icmp |
בדיקות קדם הפעלה (אימות). כשיוצרים, מעדכנים או משדרגים אשכולות משתמשים. כשיוצרים, מעדכנים או משדרגים את אשכול האדמין. |
|
|
צמתים של מישור הבקרה באשכול אדמין |
32768- 60999 |
צמתי עובד באשכול משתמשים |
22 |
SSH |
בדיקות קדם הפעלה (אימות). כשמשדרגים אשכולות משתמשים. כשמשדרגים את אשכול האדמין. |
|
צומת מישור הבקרה של אשכול משתמשים (kubeception בלבד) |
1024 - 65535 |
vCenter Server API |
443 |
TCP/https |
שינוי הגודל של האשכול. |
|
צומת מישור הבקרה של אשכול משתמשים (kubeception בלבד) |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com או REGION-gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
נדרשת גישה כדי לרשום את צי הרכבים. אחרי רשימת כתובות ה-URL שצריך להוסיף לרשימת ההיתרים, מופיעה הערה 2. |
|
צומת מישור הבקרה של אשכול משתמשים (kubeception בלבד) |
1024 - 65535 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
צומת מישור הבקרה של אשכול משתמשים (kubeception בלבד) |
1024 - 65535 |
מאגר Docker מקומי באתר |
תלוי במרשם שלכם |
TCP/https |
נדרש אם Google Distributed Cloud מוגדר לשימוש במאגר Docker פרטי מקומי במקום ב-gcr.io. |
|
צומת מישור הבקרה של אשכול משתמשים (kubeception בלבד) |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com כל כתובת URL מסוג *.googleapis.com שנדרשת לשירותים שמופעלים באשכול האדמין |
443 |
TCP/https |
הורדת תמונות ממאגרי Docker ציבוריים. לא נדרש אם משתמשים במאגר פרטי של Docker. |
|
Cloud Logging Collector, שפועל בצומת של תוסף באשכול אדמין |
1024 - 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
|
Cloud Metadata Collector, שפועל בצומת של תוסף באשכול אדמין |
1024 - 65535 |
opsconfigmonitoring.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector, שפועל בצומת של תוסף באשכול אדמין |
1024 - 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
|
צומת מישור הבקרה של אדמין קלאסטר |
1024 - 65535 |
F5 BIG-IP API |
443 |
TCP/https |
|
|
צומת מישור הבקרה של אדמין קלאסטר |
1024 - 65535 |
מאגר Docker מקומי באתר |
תלוי במרשם שלכם |
TCP/https |
נדרש אם Google Distributed Cloud מוגדר לשימוש במאגר Docker פרטי מקומי במקום ב-gcr.io. |
|
צומת מישור הבקרה של אדמין קלאסטר |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com כל כתובת URL מסוג *.googleapis.com שנדרשת לשירותים שמופעלים באשכול האדמין |
443 |
TCP/https |
הורדת תמונות ממאגרי Docker ציבוריים. לא נדרש אם משתמשים במאגר פרטי של Docker. |
|
צמתים של עובדים באשכול אדמין |
1024 - 65535 |
צמתים של עובדים באשכול אדמין |
הכול |
179 - bgp 443 – https 5473 – Calico/Typha 9443 – מדדי Envoy 10250 – יציאה של צומת kubelet |
כל צמתי העובדים צריכים להיות סמוכים בשכבה 2 וללא חומת אש. |
|
צמתים של אשכול אדמין |
1024 - 65535 |
CIDR של פודים באשכול אדמין |
all |
הכול |
תעבורה חיצונית עוברת SNAT בצומת הראשון ונשלחת לכתובת ה-IP של ה-Pod. |
|
צמתים של עובדים באשכול אדמין |
all |
צמתים של אשכול משתמשים |
22 |
SSH |
נדרש ל-kubeception. תקשורת בין שרת ה-API ל-kubelet דרך מנהרת SSH. אין צורך לבצע את השלב הזה ב-Controlplane V2. |
|
צמתים של אשכול אדמין |
1024 - 65535 |
כתובות ה-IP של מכונות וירטואליות של איזון עומסים ב-Seesaw באשכול האדמין |
20255,20257 |
TCP/http |
שליחת הגדרות של איזון עומסים ומעקב אחרי מדדים. נדרש רק אם משתמשים ב-Bundled LB Seesaw. |
|
צמתים של אשכול אדמין |
1024 - 65535 |
צמתים של אשכול אדמין |
7946 |
TCP/UDP |
בדיקת תקינות של MetalLB. נדרש רק אם משתמשים ב-Bundled LB MetalLB. |
|
צמתים של אשכול אדמין |
הכול |
כתובת VIP של מישור הבקרה של אשכול משתמשים |
443 |
https |
נדרש ל-Controlplane V2. אפשר לצמתים ול-Pods באשכול האדמין לתקשר עם שרת Kubernetes API של אשכול המשתמש. |
|
צמתים של אשכול אדמין |
הכול |
צמתים של מישור הבקרה באשכול משתמשים |
443 |
https |
נדרש ל-Controlplane V2. אפשר לצמתים ול-Pods באשכול האדמין לתקשר עם שרת ה-API של Kubernetes באשכול המשתמש באמצעות כתובת ה-IP של צומת מישור הבקרה באשכול המשתמש. |
כללי חומת אש לצמתים של אשכול משתמשים
בצמתי אשכול המשתמשים, כתובות ה-IP שלהם מפורטות בקובץ טווח כתובות ה-IP.
כמו בצמתים של אשכול האדמין, אתם לא יודעים איזו כתובת IP תשמש לאיזה צומת. לכן, כל הכללים בצמתי אשכולות המשתמשים חלים על כל צומת של אשכול משתמשים.
מאת |
יציאת המקור |
אל |
יציאה |
פרוטוקול |
תיאור |
|---|---|---|---|---|---|
|
צומת של מישור הבקרה של אשכול משתמשים (Controlplane V2 בלבד) |
1024 - 65535 |
vCenter Server API |
443 |
TCP/https |
שינוי הגודל של האשכול. |
|
צומת של מישור הבקרה של אשכול משתמשים (Controlplane V2 בלבד) |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com או REGION-gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
נדרשת גישה כדי לרשום את צי הרכבים. אחרי רשימת כתובות ה-URL שצריך להוסיף לרשימת ההיתרים, מופיעה הערה 2. |
|
צומת של מישור הבקרה של אשכול משתמשים (Controlplane V2 בלבד) |
1024 - 65535 |
מאגר Docker מקומי באתר |
תלוי במרשם שלכם |
TCP/https |
נדרש אם Google Distributed Cloud מוגדר לשימוש במאגר Docker פרטי מקומי במקום ב-gcr.io. |
|
צומת של מישור הבקרה של אשכול משתמשים (Controlplane V2 בלבד) |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com כל כתובת URL מסוג *.googleapis.com שנדרשת לשירותים שמופעלים באשכול האדמין |
443 |
TCP/https |
הורדת תמונות ממאגרי Docker ציבוריים. לא נדרש אם משתמשים במאגר פרטי של Docker. |
|
צומת של מישור הבקרה של אשכול משתמשים (Controlplane V2 בלבד) |
1024 - 65535 |
F5 BIG-IP API |
443 |
TCP/https |
|
| צומת של מישור הבקרה של אשכול משתמשים (Controlplane V2 בלבד) | 1024 - 65535 | צמתים של אשכול משתמשים | 14443 | TCP | שירות ANG Webhook. חובה אם advancedNetworking מופעל. kube-apiserver מתקשר עם ang-controller-manager כדי לבצע בדיקות גישה. |
|
צמתי עובד באשכול משתמשים |
all |
gcr.io oauth2.googleapis.com storage.googleapis.com כל כתובת URL של *.googleapis.com שנדרשת לשירותים שמופעלים באשכול הזה |
443 |
TCP/https |
הורדת תמונות ממאגרי Docker ציבוריים. לא נדרש אם משתמשים במאגר פרטי של Docker. |
|
צמתי עובד באשכול משתמשים |
all |
F5 BIG-IP API |
443 |
TCP/https |
|
|
צמתי עובד באשכול משתמשים |
all |
כתובת ה-IP הווירטואלית של שרת ה-pushprox, שפועל באשכול הניהול. |
8443 |
TCP/https |
תנועה ב-Prometheus. |
|
צמתי עובד באשכול משתמשים |
all |
צמתי עובד באשכול משתמשים |
all |
22 – ssh 179 - bgp 443 – https 5473 - calico-typha 9443 – מדדי Envoy 10250 – יציאת צומת kubelet" |
כל צמתי העובדים צריכים להיות סמוכים בשכבה 2 וללא חומת אש. |
|
צמתי עובד באשכול משתמשים |
all |
כתובת VIP במישור הבקרה של המשתמש |
443 |
TCP/https |
|
|
צמתי עובד באשכול משתמשים |
הכול |
כתובת VIP במישור הבקרה של המשתמש |
8132 |
GRPC |
נדרש ל-kubeception. חיבור Konnectivity. אין צורך לבצע את השלב הזה ב-Controlplane V2. |
|
צמתים של אשכול אדמין |
הכול |
שרת vCenter של אשכול משתמשים |
443 |
https |
מאפשרים לאשכול האדמין לנהל את מחזור החיים של אשכול המשתמשים. נדרש אם לאשכולות האדמין והמשתמש יש שרתי vCenter שונים. |
| צמתים של אשכול אדמין | 1024 - 65535 | צמתים של אשכול משתמשים | 14443 | TCP | שירות ANG Webhook. חובה אם advancedNetworking מופעל. kube-apiserver מתקשר עם ang-controller-manager כדי לבצע בדיקות גישה. |
|
צמתים של אשכול משתמשים |
1024 - 65535 |
CIDR של פודים באשכול משתמשים |
all |
הכול |
תעבורה חיצונית עוברת SNAT בצומת הראשון ונשלחת לכתובת ה-IP של ה-Pod. |
|
Cloud Logging Collector, שפועל בצומת עובד אקראי באשכול משתמשים |
1024 - 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
|
סוכן החיבור, שפועל בצומת עובד של אשכול משתמשים אקראי. |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com או REGION-gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com |
443 |
TCP/https |
חיבור תנועה. אחרי רשימת כתובות ה-URL שצריך להוסיף לרשימת ההיתרים, מופיעה הערה 2. |
|
Cloud Metadata Collector, שפועל בצומת עובד אקראי באשכול משתמשים |
1024 - 65535 |
opsconfigmonitoring.googleapis.com kubernetesmetadata.googleapis.com |
443 |
TCP/https |
|
|
Cloud Monitoring Collector, שפועל בצומת עובד אקראי באשכול משתמשים |
1024 - 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
|
צמתים של אשכול משתמשים |
1024 - 65535 |
כתובות ה-IP של מכונות וירטואליות של איזון עומסים ב-Seesaw באשכול המשתמשים |
20255,20257 |
TCP/http |
שליחת הגדרות של איזון עומסים ומעקב אחרי מדדים. נדרש רק אם משתמשים ב-Bundled LB Seesaw. |
|
משתמשים באשכול צמתים עם enableLoadBalancer=true |
1024 - 65535 |
משתמשים באשכול צמתים עם enableLoadBalancer=true |
7946 |
TCP/UDP |
בדיקת תקינות של MetalLB. נדרש רק אם משתמשים ב-Bundled LB MetalLB. |
|
רשת של אשכול משתמשים |
all |
כתובת VIP של מישור הבקרה של אשכול משתמשים |
443 |
TCP/https |
כללי חומת אש לרכיבים הנותרים
הכללים האלה חלים על כל שאר הרכיבים שלא מופיעים בטבלאות של הצמתים באשכול האדמין ובאשכול המשתמשים.
מאת |
יציאת המקור |
אל |
יציאה |
פרוטוקול |
תיאור |
|---|---|---|---|---|---|
|
CIDR של פודים באשכול אדמין |
1024 - 65535 |
CIDR של פודים באשכול אדמין |
all |
הכול |
תעבורת נתונים בין פודים מועברת ישירות ברמה 2 באמצעות כתובות ה-IP של המקור והיעד בתוך ה-CIDR של הפוד. |
|
CIDR של פודים באשכול אדמין |
1024 - 65535 |
צמתים של אשכול אדמין |
all |
הכול |
תנועה חוזרת של תנועה חיצונית. |
|
CIDR של פודים באשכול משתמשים |
1024 - 65535 |
CIDR של פודים באשכול משתמשים |
all |
הכול |
תעבורת נתונים בין פודים מועברת ישירות ברמה 2 באמצעות כתובות ה-IP של המקור והיעד בתוך ה-CIDR של הפוד. |
|
CIDR של פודים באשכול משתמשים |
1024 - 65535 |
צמתים של אשכול משתמשים |
all |
הכול |
תנועה חוזרת של תנועה חיצונית. |
|
לקוחות ומשתמשי קצה של אפליקציות |
all |
כתובת IP וירטואלית של Istio ingress |
80, 443 |
TCP |
תנועת משתמשי קצה לשירות הכניסה של אשכול משתמשים. |
|
שרת קפיצה לפריסת תחנת העבודה של האדמין |
טווח יציאות זמניות |
vCenter Server API ESXi VMkernel (mgt) IPs of hosts in target cluster |
443 |
TCP/https |
בודקים את טווח היציאות האפמריות באמצעות הפקודה `cat /proc/sys/net/ipv4/ip_local_port_range`. |
|
תחנת עבודה לאדמין |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Any *.googleapis.com URL required for the services enabled for this cluster |
443 |
TCP/https |
הורדה של קובצי אימג' של Docker ממאגרי Docker ציבוריים. |
|
תחנת עבודה לאדמין |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Any *.googleapis.com URL required for the services enabled for the admin or user clusters VIPs of user clusters' Kubernetes API servers VIP of the admin cluster's Kubernetes API server vCenter Server API |
443 |
TCP/https |
בדיקות קדם הפעלה (אימות). כשיוצרים, מעדכנים, משדרגים או מוחקים אשכולות באמצעות |
|
תחנת עבודה לאדמין |
32768- 60999 |
vCenter Server API F5 BIG-IP API |
443 |
TCP/https |
יצירת אשכול אדמין. יצירה של אשכול משתמשים. |
|
תחנת עבודה לאדמין |
32768- 60999 |
כתובות ה-IP של ESXi VMkernel (mgt) של המארחים באשכול היעד |
443 |
TCP/https |
תחנת העבודה של האדמין מעלה את קובץ ה-OVA למאגר הנתונים דרך המארחים של ESXi. |
|
תחנת עבודה לאדמין |
32768- 60999 |
כתובת ה-VIP של שרת ה-API של Kubernetes באשכול הניהול כתובות IP וירטואליות של שרתי Kubernetes API באשכולות משתמשים |
443 |
TCP/https |
יצירת אשכול אדמין. עדכון של אשכול אדמין. יצירה של אשכול משתמשים. עדכון של אשכול משתמשים. מחיקת אשכול משתמשים. |
|
תחנת עבודה לאדמין |
32768- 60999 |
צומת מישור הבקרה וצומתי העובדים באשכול האדמין |
443 |
TCP/https |
יצירת אשכול אדמין. שדרוגים של מישור הבקרה. |
|
תחנת עבודה לאדמין |
32768- 60999 |
כל הצמתים באשכול הניהול וכל הצמתים באשכול המשתמשים |
443 |
TCP/https |
אימות הרשת כחלק מהפקודה |
|
תחנת עבודה לאדמין |
32768- 60999 |
כתובת ה-VIP של תעבורת הנתונים הנכנסת (ingress) של Istio באשכול האדמין כתובת ה-VIP של תעבורת נתונים נכנסת (ingress) של Istio באשכולות משתמשים |
443 |
TCP/https |
אימות הרשת כחלק מהפקודה |
|
תחנת עבודה לאדמין |
32768- 60999 |
oauth2.googleapis.com logging.googleapis.com monitoring.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
גישה לרישום ביומן ולמעקב ב-Cloud. |
|
תחנת עבודה לאדמין |
32768- 60999 |
כתובות ה-IP של מכונות וירטואליות של Seesaw LB באשכולות אדמין ובאשכולות משתמשים כתובות ה-VIP של איזון העומסים ב-Seesaw של אשכולות האדמין והמשתמשים |
20256,20258 |
TCP/http/gRPC |
בדיקת תקינות של איזוני עומסים. נדרש רק אם משתמשים ב-Bundled LB Seesaw. |
|
תחנת עבודה לאדמין |
32768- 60999 |
כתובת ה-IP של הצומת במישור הבקרה של האשכול |
22 |
TCP |
נדרש אם אתם צריכים גישת SSH מתחנת העבודה של האדמין למישור הבקרה של אשכול האדמין. |
| תחנת עבודה לאדמין | 32768- 60999 | releases.hashicorp.com | 443 | TCP/https | זה שינוי אופציונלי. אחרי רשימת כתובות ה-URL שצריך להוסיף לרשימת ההיתרים, מופיעה הערה 3. |
|
LB VM IPs |
32768- 60999 |
כתובות ה-IP של הצמתים באשכול המתאים |
10256: בדיקת תקינות של הצומת |
TCP/http |
בדיקת תקינות של הצומת. healthCheckNodePort מיועד לשירותים שבהם externalTrafficPolicy מוגדר כ-Local. נדרש רק אם משתמשים ב-Bundled LB Seesaw. |
|
F5 Self-IP |
1024 - 65535 |
כל הצמתים באשכולות של מנהלים ומשתמשים |
30000 - 32767 |
הכול |
לתעבורה במישור הנתונים ש-F5 BIG-IP מבצע איזון עומסים שלה באמצעות שרת וירטואלי VIP ליציאות הצמתים בצמתים של אשכול Kubernetes. בדרך כלל כתובת ה-IP העצמית של F5 נמצאת באותה רשת או באותה רשת משנה כמו הצמתים של אשכול Kubernetes. |