פתיחת פורטים באשכול פרטי

אם מתקינים את Cloud Service Mesh בתוך אשכול באשכול פרטי, צריך לפתוח את יציאה 15017 בחומת האש כדי שה-webhook שמשמש להוספה אוטומטית של sidecar (הוספה אוטומטית) ואימות ההגדרות יפעלו.

בשלבים הבאים מוסבר איך להוסיף כלל לחומת האש כדי לכלול את היציאות החדשות שרוצים לפתוח.

1. מאתרים את טווח המקור (master-ipv4-cidr) ואת יעדי האשכול. בפקודה הבאה, מחליפים את CLUSTER_NAME בשם האשכול:

   gcloud compute firewall-rules list \
       --filter 'name~gke-CLUSTER_NAME-[0-9a-z]*-master' \
       --format 'table(
           name,
           network,
           direction,
           sourceRanges.list():label=SRC_RANGES,
           allowed[].map().firewall_rule().list():label=ALLOW,
           targetTags.list():label=TARGET_TAGS
       )'
   

2. יוצרים את הכלל לחומת האש. בוחרים מבין הפקודות הבאות ומחליפים את CLUSTER_NAME בשם האשכול מהפקודה הקודמת.

   • כדי להפעיל הזרקה אוטומטית, מריצים את הפקודה הבאה כדי לפתוח את יציאה 15017:

     gcloud compute firewall-rules create allow-api-server-to-webhook-CLUSTER_NAME \
       --action ALLOW \
       --direction INGRESS \
       --source-ranges CONTROL_PLANE_RANGE \
       --rules tcp:15017 \
       --target-tags TARGET
     

     מחליפים את מה שכתוב בשדות הבאים:

     • ‫CLUSTER_NAME: השם של האשכול
     • ‫CONTROL_PLANE_RANGE: טווח כתובות ה-IP של מישור הבקרה של האשכול (masterIpv4CidrBlock) שאספתם קודם.
     • ‫TARGET: ערך היעד (Targets) שאספתם קודם.

   • אם רוצים להפעיל גם את הפקודות istioctl version ו-istioctl ps, מריצים את הפקודה הבאה כדי לפתוח את הפורטים 15014 ו-8080:

     gcloud compute firewall-rules create allow-debug-proxy-CLUSTER_NAME \
       --action ALLOW \
       --direction INGRESS \
       --source-ranges CONTROL_PLANE_RANGE \
       --rules tcp:15014,tcp:8080 \
       --target-tags TARGET
     

     מחליפים את מה שכתוב בשדות הבאים:

     • ‫CLUSTER_NAME: השם של האשכול
     • ‫CONTROL_PLANE_RANGE: טווח כתובות ה-IP של מישור הבקרה של האשכול (masterIpv4CidrBlock) שאספתם קודם.
     • ‫TARGET: ערך היעד (Targets) שאספתם קודם.