IBM Cloud Docs
Öffnen der erforderlichen Ports und IP-Adressen in Ihrer Zulassen-Liste

Öffnen der erforderlichen Ports und IP-Adressen in Ihrer Zulassen-Liste

Klassische Cluster

Diese Informationen in der Zulassungsliste sind spezifisch für klassische Cluster. Für VPC-Cluster siehe Öffnen der erforderlichen Ports und IP-Adressen in Ihrer Zulassen-Liste für VPC-Cluster.

Überprüfen Sie diese Situationen, in denen Sie möglicherweise bestimmte Ports und IP-Adressen in Ihren Zulassen-Listen für Ihre IBM Cloud® Kubernetes Service-Cluster öffnen müssen.

  • Unternehmenseigene Zulassen-Listen: Wenn Unternehmensnetzwerkrichtlinien den Zugriff von Ihrem lokalen System auf öffentliche Endpunkte über Proxys oder Zulassungslisten verhindern, müssen Sie den Zugriff zulassen, um die Befehle ibmcloud, ibmcloud ks, ibmcloud cr, kubectl und calicoctl von Ihrem lokalen System auszuführen.
  • Gateway-Appliance-Zulassungslisten: Wenn Sie im öffentlichen oder privaten Netzwerk Ihres IBM Cloud Infrastrukturkontos (z. B. VRA) Zulassungslisten eingerichtet haben, müssen Sie IP-Bereiche, Ports und Protokolle öffnen, damit Arbeitsknoten mit dem Master, mit Infrastrukturressourcen und mit anderen IBM Cloud Diensten kommunizieren können. Sie können auch Ports öffnen, um eingehenden Datenverkehr zu Services zu erlauben, über die Apps in Ihrem Cluster zugänglich machen werden.
  • Calico netzwerkrichtlinien: Wenn Sie Calico Netzwerkrichtlinien verwenden, die als Erlaubnisliste fungieren, um alle Arbeiterknoten-Eingänge zu beschränken, müssen Sie Ihren Arbeiterknoten den Zugriff auf die Ressourcen erlauben, die für das Funktionieren des Clusters erforderlich sind.
  • Andere Dienste oder Netzwerk-Zulassungslisten: Um Ihrem Cluster den Zugriff auf Dienste zu ermöglichen, die innerhalb oder außerhalb von IBM Cloud oder in lokalen Netzwerken ausgeführt werden und die durch eine Zulässigkeitsliste geschützt sind, müssen Sie die IP-Adressen Ihrer Arbeitsknoten in diese Zulässigkeitsliste aufnehmen.

Öffnen von Ports in einer Unternehmens-Allowlist

Wenn die Netzwerkrichtlinien des Unternehmens den Zugriff von Ihrem lokalen System auf öffentliche Endpunkte über Proxys oder allowlists verhindern, müssen Sie den Zugriff zulassen, um die Befehle ibmcloud, ibmcloud ks und ibmcloud cr, kubectl und calicoctl von Ihrem lokalen System aus auszuführen.

Ausführen der Befehle ibmcloud, ibmcloud ks und ibmcloud cr hinter einer Zulassen-Liste

Wenn die Netzwerkrichtlinien des Unternehmens den Zugriff von Ihrem lokalen System auf öffentliche Endpunkte über Proxys oder allowlists verhindern, müssen Sie für die Befehle ibmcloud, ibmcloud ks und ibmcloud cr den TCP-Zugriff für IBM Cloud, IBM Cloud Kubernetes Service und IBM Cloud Container Registry zulassen.

  1. Erlauben Sie den Zugriff auf cloud.ibm.com über Port 443 in Ihrer Zulassen-Liste.

  2. Überprüfen Sie Ihre Verbindung, indem Sie sich über diesen API-Endpunkt bei IBM Cloud anmelden.

    ibmcloud login -a https://cloud.ibm.com/

  3. Erlauben Sie den Zugriff auf containers.cloud.ibm.com über Port 443 in Ihrer Zulassen-Liste.

  4. Verifizieren Sie Ihre Verbindung. Wenn der Zugriff ordnungsgemäß konfiguriert ist, werden Zonen in der Ausgabe angezeigt.

    curl https://containers.cloud.ibm.com/v1/zones

    Beispielausgabe

    [{"id":"mon01","metro":""},{"id":"tor01","metro":""},{"id":"wdc04","metro":"Washington D.C."},{"id":"wdc06","metro":"Washington D.C."},{"id":"wdc07","metro":"Washington D.C."}]

  5. Erlauben Sie in Ihrer Zulassen-Liste den Zugriff auf die IBM Cloud Container Registry Regionen, die Sie auf Port 443 verwenden möchten. In der globalen Registry werden von IBM bereitgestellte öffentliche Images gespeichert. Ihre eigenen privaten oder öffentlichen Images werden in regionalen Registrys gespeichert.

  6. Überprüfen Sie Ihre Verbindung, indem Sie die Namespaces Ihrer Container-Registrierung auflisten.

kubectl-Befehle hinter einer Zulassungsliste ausführen

Wenn die Netzwerkrichtlinien des Unternehmens den Zugriff von Ihrem lokalen System auf öffentliche Endpunkte über Proxys oder allowlists verhindern, müssen Sie den TCP-Zugriff für den Cluster zulassen, um kubectl-Befehle auszuführen.

Beim Erstellen eines Clusters wird der Port in den Serviceendpunkt-URLs nach dem Zufallsprinzip aus dem Bereich 30000–32767 zugewiesen. Sie können entweder den Portbereich 30000–32767 für alle Cluster öffnen, die erstellt werden, oder den Zugriff für einen bestimmten vorhandenen Cluster ermöglichen.

Vorab müssen Sie zulassen, dass ibmcloud ks-Befehle ausgeführt werden.

Gehen Sie wie folgt vor, um Zugriff auf einen bestimmten Cluster zu gewähren:

  1. Melden Sie sich bei der IBM Cloud-CLI an. Geben Sie Ihre IBM Cloud-Berechtigungsnachweise ein, wenn Sie dazu aufgefordert werden. Wenn Sie über ein föderiertes Konto verfügen, schließen Sie die Option --sso ein.

    ibmcloud login [--sso]

  2. Wenn sich der Cluster in einer anderen Ressourcengruppe als default befindet, geben Sie diese Ressourcengruppe als Ziel an. Um die Ressourcengruppen anzuzeigen, zu denen die einzelnen Cluster gehören, führen Sie den Befehl ibmcloud ks cluster ls aus. Hinweis: Ihnen muss mindestens die Rolle Anzeigeberechtigter für die Ressourcengruppe zugewiesen sein.

    ibmcloud target -g <resource_group_name>

  3. Rufen Sie den Namen Ihres Clusters ab.

    ibmcloud ks cluster ls

  4. Rufen Sie die Serviceendpunkt-URLs für Ihren Cluster ab.

    • Wenn nur das Feld Public Service Endpoint URL einen Wert enthält, nehmen Sie diese URL. Ihre berechtigten Clusterbenutzer können auf den Master über diesen Endpunkt im öffentlichen Netz zugreifen.
    • Wenn nur das Feld Private Service Endpoint URL einen Wert enthält, nehmen Sie diese URL. Ihre berechtigten Clusterbenutzer können auf den Master über diesen Endpunkt im privaten Netz zugreifen.
    • Wenn die beiden Felder Public Service Endpoint URL und Private Service Endpoint URL Werte enthalten, nehmen Sie beide URLs. Ihre berechtigten Clusterbenutzer können auf den Master über den öffentlichen Endpunkt im öffentlichen Netz oder über den privaten Endpunkt im privaten Netz zugreifen.
    ibmcloud ks cluster get --cluster <cluster_name_or_ID>

    Beispielausgabe

    ...
Public Service Endpoint URL:    https://c3.<region>.containers.cloud.ibm.com:30426
Private Service Endpoint URL:   https://c3-private.<region>.containers.cloud.ibm.com:31140
...

  5. Ermöglichen Sie den Zugriff auf die Serviceendpunkt-URLs und Ports, die Sie im vorherigen Schritt abgerufen haben. Wenn Ihre Erlaubnisliste IP-basiert ist, können Sie anhand dieser Tabelle sehen, welche IP-Adressen geöffnet werden, wenn Sie den Zugriff auf die URLs der Dienstendpunkte erlauben.

  6. Verifizieren Sie Ihre Verbindung.

    • Wenn der Public-Cloud-Serviceendpunkt aktiviert ist:

      curl --insecure <public_service_endpoint_URL>/version

      Beispielbefehl:

      curl --insecure https://c3.<region>.containers.cloud.ibm.com:31142/version

      Beispielausgabe

      {
"major": "1",
"minor": "7+",
"gitVersion": "v1.7.4-2+eb9172c211dc41",
"gitCommit": "eb9172c211dc4108341c0fd5340ee5200f0ec534",
"gitTreeState": "clean",
"buildDate": "2017-11-16T08:13:08Z",
"goVersion": "go1.8.3",
"compiler": "gc",
"platform": "linux/amd64"
}

    • Wenn der Private-Cloud-Serviceendpunkt aktiviert ist, müssen Sie sich in Ihrem privaten IBM Cloud-Netz befinden oder eine Verbindung zu dem privaten Netz über eine VPN-Verbindung herstellen, um die Verbindung zum Master zu prüfen. Hinweis: Sie müssen den Master-Endpunkt über eine private Lastausgleichsfunktion zugänglich machen, damit Benutzer über eine VPN- oder IBM Cloud® Direct Link-Verbindung auf den Master zugreifen können.

      curl --insecure <private_service_endpoint_URL>/version

      Beispielbefehl:

      curl --insecure https://c3-private.<region>.containers.cloud.ibm.com:31142/version

      Beispielausgabe

      {
"major": "1",
"minor": "7+",
"gitVersion": "v1.7.4-2+eb9172c211dc41",
"gitCommit": "eb9172c211dc4108341c0fd5340ee5200f0ec534",
"gitTreeState": "clean",
"buildDate": "2017-11-16T08:13:08Z",
"goVersion": "go1.8.3",
"compiler": "gc",
"platform": "linux/amd64"
}

  7. Optional: Wiederholen Sie diese Schritte für jeden Cluster, den Sie zugänglich machen müssen.

calicoctl-Befehle hinter einer Zulassungsliste ausführen

Wenn die Netzwerkrichtlinien des Unternehmens den Zugriff von Ihrem lokalen System auf öffentliche Endpunkte über Proxys oder allowlists verhindern, müssen Sie den TCP-Zugriff für die Befehle Calico erlauben, um calicoctl auszuführen.

Vorab müssen Sie zulassen, dass ibmcloud-Befehle und kubectl-Befehle ausgeführt werden.

  1. Rufen Sie die IP-Adresse aus der Master-URL ab, die Sie verwendet haben, um die kubectl-Befehle zuzulassen.

  2. Rufen Sie den Port für 'etcd' ab.

    kubectl get cm -n kube-system cluster-info -o yaml | grep etcd_host

  3. Ermöglichen Sie Zugriff für die Calico-Richtlinien über die IP-Adresse und den 'etcd'-Port der Master-URL.

Öffnen von Ports in Gateway-Appliance-Listen

Wenn Sie in Ihrem IBM Cloud-Infrastrukturkonto allowlists im öffentlichen oder privaten Netzwerk eingerichtet haben, z. B. Virtual Router Appliance (Vyatta), müssen Sie IP-Bereiche, Ports und Protokolle öffnen, damit Worker Nodes mit dem Master, mit Infrastrukturressourcen und mit anderen IBM Cloud-Diensten kommunizieren können.

Öffnen der erforderlichen Ports in einer öffentlichen allowlist

Wenn Sie in Ihrem IBM Cloud-Infrastrukturkonto eine Zulassen-Liste für das öffentliche Netzwerk haben, wie z. B. Virtual Router Appliance (Vyatta), müssen Sie IP-Bereiche, Ports und Protokolle in Ihrer Zulassen-Liste öffnen, damit Arbeitsknoten mit dem Master, mit Infrastrukturressourcen und mit anderen IBM Cloud-Diensten kommunizieren können.

Notieren Sie vor Beginn die öffentlichen IP-Adressen aller Workerknoten in dem Cluster.

ibmcloud ks worker ls --cluster <cluster_name_or_ID>

Kommunikation von Workerknoten mit dem Cluster-Master zulassen

Um Workerknoten die Kommunikation mit dem Cluster-Master über den öffentlichen Cloud-Serviceendpunkt zu ermöglichen, lassen Sie ausgehenden Netzverkehr von der Quellen-<each_worker_node_publicIP> zum TCP/UDP-Zielportbereich 30000–32767 und Port 443 sowie die folgenden IP-Adressen und Netzgruppen zu.

Diese Tabelle wird verschoben. Die neuesten IP-Listen und fortgesetzte Aktualisierungen finden Sie im Ordner für die Isolation des öffentlichen Netzes im IBM/kube-samples -Repository. Sie können Pull Requests im Repo für Updates beobachten.

  • TCP/UDP port range 30000-32767, port 443 FROM <each_worker_node_publicIP> TO <public_IPs>
  • Ersetzen Sie <public_IPs> durch die öffentlichen IP-Adressen der Region, in der sich Ihr Cluster befindet.
Zu öffnende IP-Adressen für abgehenden Datenverkehr
Bereich Öffentliche IP-Adresse
AP Nord (che01, sng01, tok02, tok04, tok05) 119.81.194.90, 119.81.222.210, 128.168.106.194, 128.168.71.117, 128.168.75.194, 128.168.85.154, 135.90.69.66, 135.90.69.82, 161.202.126.210, 161.202.154.10, 161.202.186.226, 161.202.56.10, 161.202.57.34, 165.192.69.69, 165.192.80.146, 165.192.83.202, 165.192.95.90, 169.38.68.178, 169.38.70.10, 169.38.79.170, 169.56.1.162, 169.56.132.234, 169.56.48.114, 169.56.69.242, 169.56.96.42, 104.94.220.124, 104.94.221.124, 104.94.222.132, 104.94.223.132, 104.96.176.124, 104.96.177.124, 104.96.178.126, 104.96.179.126, 104.96.180.123, 104.96.181.123
Asien-Pazifik, Süden (syd01, syd04, syd05) 130.198.64.19, 130.198.66.26, 130.198.79.170, 130.198.83.34, 130.198.102.82, 135.90.66.2, 135.90.68.114, 135.90.69.66, 135.90.69.82, 135.90.89.234, 168.1.6.106, 168.1.8.195, 168.1.12.98, 168.1.39.34, 168.1.58.66, 104.94.220.125, 104.94.221.125, 104.94.222.133, 104.94.223.133, 104.96.176.125, 104.96.177.125, 104.96.178.127, 104.96.179.127, 104.96.180.124, 104.96.181.124
Mitteleuropa (ams03, mil01, par01, fra02, fra04, fra05) 149.81.103.98, 149.81.104.122, 149.81.113.154, 149.81.123.18, 149.81.142.90, 149.81.180.114, 149.81.180.122, 149.81.68.2, 149.81.78.114, 158.177.102.162, 158.177.107.50, 158.177.112.146, 158.177.138.138, 158.177.151.2, 158.177.156.178, 158.177.198.138, 158.177.79.34, 159.122.141.69, 159.122.150.2, 159.8.79.250, 159.8.86.149, 159.8.95.34, 161.156.115.138, 161.156.120.74, 161.156.12.82, 161.156.183.218, 161.156.187.226, 161.156.65.42, 161.156.65.82, 161.156.74.10, 161.156.79.26, 169.50.146.82, 169.50.169.110, 169.50.184.18, 169.50.56.174, 169.51.197.18, 104.94.220.127, 104.94.221.127, 104.94.222.135, 104.94.223.135, 104.96.176.127, 104.96.177.127, 104.96.178.129, 104.96.179.129, 104.96.180.126, 104.96.181.126
Madrid (mad02, mad04, mad05) 13.120.65.98, 13.120.127.250, 13.121.64.178, 13.121.64.186, 13.122.65.10, 13.122.65.34, 2.18.48.89, 2.18.49.89, 2.18.50.89, 2.18.51.89, 2.18.52.89, 2.18.53.89, 2.18.54.89, 2.18.55.89, 23.40.100.89, 23.7.244.89
Osaka (osa21, osa22,osa23) 163.68.69.114, 163.68.69.122, 163.69.65.114, 163.69.65.122, 163.73.64.250, 163.73.65.194, 104.94.220.131, 104.94.221.131, 104.94.222.139, 104.94.223.139, 104.96.176.131, 104.96.177.131, 104.96.178.133, 104.96.179.133, 104.96.180.130, 104.96.181.130
São Paulo (sao01, sao04, sao05) 163.107.65.194, 163.107.65.202, 163.109.65.154, 163.109.65.242, 169.57.159.130, 169.57.254.50, 104.94.220.129, 104.94.221.129, 104.94.222.137, 104.94.223.137, 104.96.176.129, 104.96.177.129, 104.96.178.131, 104.96.179.131, 104.96.180.128, 104.96.181.128
Toronto (tor01, tor04, tor05) 158.85.77.114, 158.85.110.18, 163.74.65.242, 163.74.65.250, 163.75.64.122, 163.75.64.162, 104.94.220.132, 104.94.221.132, 104.94.222.140, 104.94.223.140, 104.96.176.132, 104.96.177.132, 104.96.178.134, 104.96.179.134, 104.96.180.131, 104.96.181.131
Vereinigtes Königreich, Süden (lon02, lon04, lon05, lon06) 141.125.102.106, 141.125.66.26, 141.125.67.34, 141.125.77.58, 141.125.91.138, 158.175.111.42, 158.175.125.194, 158.175.139.130, 158.175.150.122, 158.175.65.170, 158.175.77.178, 158.175.82.50, 158.176.123.130, 158.176.135.242, 158.176.142.26, 158.176.149.154, 158.176.71.242, 158.176.94.26, 158.176.95.146, 159.122.224.242, 159.122.242.78, 104.94.220.126, 104.94.221.126, 104.94.222.134, 104.94.223.134, 104.96.176.126, 104.96.177.126, 104.96.178.128, 104.96.179.128, 104.96.180.125, 104.96.181.125
Vereinigte Staaten (Osten) (mon01, wdc04, wdc06, wdc07) 158.85.97.34, 169.47.162.130, 169.47.174.106, 169.53.167.50, 169.53.171.210, 169.54.126.219, 169.54.80.106, 169.54.94.26, 169.60.100.242, 169.60.101.42, 169.60.111.58, 169.60.73.142, 169.60.92.50, 169.60.92.66, 169.61.109.34, 169.61.110.66, 169.61.74.210, 169.61.83.62, 169.62.10.162, 169.62.9.250, 169.63.106.50, 169.63.111.82, 169.63.149.122, 169.63.158.82, 169.63.160.130, 169.63.66.226, 169.63.75.82, 169.63.88.178, 169.63.88.186, 169.63.94.210, 52.117.72.42, 52.117.88.42, 104.94.220.128, 104.94.221.128, 104.94.222.136, 104.94.223.136, 104.96.176.128, 104.96.177.128, 104.96.178.130, 104.96.179.130, 104.96.180.127, 104.96.181.127
US-Süd (sjc03, sjc04, dal10, dal12, dal13) 50.22.129.34, 52.116.231.210, 52.116.254.234, 52.116.54.122, 52.117.197.210, 52.117.212.34, 52.117.215.162, 52.117.232.194, 52.117.240.106, 52.117.28.138, 67.228.97.210, 169.45.126.154, 169.45.67.210, 169.45.88.98, 169.46.110.218, 169.46.111.122, 169.46.16.202, 169.46.24.210, 169.46.27.234, 169.46.63.250, 169.46.68.234, 169.46.7.238, 169.46.89.50, 169.47.109.34, 169.47.115.18, 169.47.201.194, 169.47.209.66, 169.47.229.90, 169.47.232.210, 169.47.239.34, 169.47.242.242, 169.47.70.10, 169.47.71.138, 169.48.110.250, 169.48.143.218, 169.48.161.242, 169.48.226.2, 169.48.230.146, 169.48.244.66, 169.57.100.18, 169.57.13.10, 169.57.147.58, 169.57.151.10, 169.57.154.98, 169.59.219.90, 169.59.223.194, 169.59.230.98, 169.60.128.2, 169.60.170.234, 169.61.175.106, 169.61.177.2, 169.61.187.58, 169.61.228.138, 169.61.28.66, 169.61.29.194, 169.61.60.130, 169.62.166.98, 169.62.189.26, 169.62.206.234, 169.62.230.114, 169.62.82.197, 169.62.87.170, 169.62.97.218, 169.63.39.66, 169.63.47.250, 104.94.220.130, 104.94.221.130, 104.94.222.138, 104.94.223.138, 104.96.176.130, 104.96.177.130, 104.96.178.132, 104.96.179.132, 104.96.180.129, 104.96.181.129

Workerknoten die Kommunikation mit IBM Cloud Container Registry ermöglichen

Erlauben Sie ausgehenden Netzwerkverkehr von Ihren Arbeitsknoten an IBM Cloud Container Registry. Weitere Informationen finden Sie unter Über Firewall auf IBM Cloud Container Registry zugreifen.

Ausgehenden Datenverkehr von Workerknoten zu IAM zulassen

Lassen Sie den ausgehenden Netzverkehr von Ihrem Workerknoten an IBM Cloud Identity and Access Management (IAM) zu. Ihre allowlist muss Layer 7 sein, um den IAM-Domänennamen zuzulassen. IAM verfügt nicht über spezifische IP-Adressen, die Sie zulassen können. Wenn Ihre Zulassungsliste keine Schicht 7 unterstützt, können Sie den gesamten HTTPS Netzwerkverkehr auf Port 443 zulassen.

  • TCP port 443 FROM <each_worker_node_publicIP> TO https://iam.bluemix.net
  • TCP port 443 FROM <each_worker_node_publicIP> TO https://iam.cloud.ibm.com

Optional: Ausgehenden Netzdatenverkehr von den Workerknoten zu Monitoring- und IBM Cloud Logs-Services zulassen

  • IBM Cloud Monitoring:

    • TCP port 443, port 6443 FROM <each_worker_node_public_IP> TO <monitoring_public_IP>
    • Ersetzen Sie <monitoring_public_IP> durch Monitoring-IP-Adressen.

  • IBM Cloud Logs:

    • TCP port 443, port 80 FROM <each_worker_node_public_IP> TO <logging_public_IP>
    • Ersetzen Sie <logging_public_IP> durch die IP-Adressen von IBM Cloud Logs.

Optional: Ein- und ausgehenden Netzdatenverkehr für das verwaltete Istio-Add-on zulassen

  • Lassen Sie abgehenden Netzverkehr von der istio-egressgateway-Lastausgleichsfunktion über die folgenden Ports zu: TCP port 80, port 15443 FROM <each_worker_node_publicIP>
  • Lassen Sie eingehenden Netzverkehr für die istiod-Steuerebene und die istio-ingressgateway-Lastausgleichsfunktion über die folgenden Ports zu: TCP port 443, port 853, port 15010, port 15012, port 15014 FROM <each_worker_node_publicIP>.

Nächste Schritte

Wenn Sie Lastausgleichsservices verwenden, stellen Sie sicher, dass der gesamte Datenverkehr, der das VRRP-Protokoll verwendet, zwischen Workerknoten in den öffentlichen und privaten Schnittstellen zugelassen wird. IBM Cloud Kubernetes Service verwendet das VRRP-Protokoll zum Verwalten der IP-Adressen für öffentliche und private Lastausgleichsfunktionen.

Öffnen der erforderlichen Ports in einer privaten allowlist

Wenn Sie eine Zulassen-Liste für das private Netzwerk in Ihrem IBM Cloud Infrastrukturkonto haben, wie z.B. Virtual Router Appliance (Vyatta), müssen Sie IP-Bereiche, Ports und Protokolle in Ihrer Zulassen-Liste öffnen, damit die Arbeitsknoten mit dem Master, untereinander, mit Infrastrukturressourcen und mit anderen IBM Cloud Diensten kommunizieren können.

Vorbereitende Schritte

  1. Lassen Sie für die IBM Cloud-Infrastruktur private IP-Bereiche zu, sodass Sie Workerknoten in Ihrem Cluster erstellen können.

    1. Lassen Sie für die entsprechende IBM Cloud-Infrastruktur private IP-Bereiche zu. Weitere Informationen finden Sie unter Back-End-Netz (privat).
    2. Lassen Sie die privaten IP-Bereiche der IBM Cloud-Infrastruktur für alle Zonen zu, die Sie verwenden. Hinweis: Sie müssen die 166.8.0.0/14 und 161.26.0.0/16 IP-Bereiche hinzufügen, die IP-Bereiche für die dal10 und wdc04 Zonen. Weitere Informationen finden Sie unter Servicenetz (im Back-End-Netz/privatem Netz).

  2. Notieren Sie für jeden Workerknoten im Cluster die private IP-Adresse.

    ibmcloud ks worker ls --cluster <cluster_name_or_ID>

Kommunikation von Workerknoten mit dem Cluster-Master zulassen

Um Workerknoten die Kommunikation mit dem Cluster-Master über den privaten Cloud-Serviceendpunkt zu ermöglichen, lassen Sie ausgehenden Netzverkehr von der Quellen-<each_worker_node_privateIP> zum TCP/UDP-Zielportbereich 30000–32767 und Port 443 sowie die folgenden IP-Adressen und Netzgruppen zu.

Diese Tabelle wird verschoben. Die neuesten IP-Listen und fortgesetzte Aktualisierungen finden Sie im Ordner für die Isolation privater Netze im IBM/kube-samples -Repository. Sie können Pull Requests im Repo für Updates beobachten.

  • TCP/UDP port range 30000-32767, port 443 FROM <each_worker_node_privateIP> TO <private_IPs>
  • Ersetzen Sie <private_IPs> durch die private IP-Adressen der Region, in der sich Ihr Cluster befindet.
Zu öffnende IP-Adressen für abgehenden Datenverkehr
Bereich Private IP-Adresse
AP Nord (che01, sng01, tok02, tok04, tok05) 166.9.40.102, 166.9.40.21, 166.9.40.36, 166.9.40.39, 166.9.40.6, 166.9.40.7, 166.9.40.8, 166.9.40.88, 166.9.42.23, 166.9.42.28, 166.9.42.55, 166.9.42.6, 166.9.42.7, 166.9.42.97, 166.9.44.15, 166.9.44.3, 166.9.44.4, 166.9.44.47, 166.9.44.5, 166.9.44.88, 166.9.46.4, 166.9.60.2, 166.9.60.4, 166.9.249.106, 166.9.249.136, 166.9.249.170
Asien-Pazifik, Süden (syd01, syd04, syd05) 166.9.52.14, 166.9.52.15, 166.9.52.23, 166.9.52.30, 166.9.52.31, 166.9.54.11, 166.9.54.12, 166.9.54.13, 166.9.54.21, 166.9.54.32, 166.9.54.33, 166.9.56.10, 166.9.56.11, 166.9.56.16, 166.9.56.24, 166.9.56.36, 166.9.244.107, 166.9.244.137, 166.9.244.171
Mitteleuropa (ams03, mil01, par01, fra02, fra04, fra05) 166.9.28.107, 166.9.28.17, 166.9.28.19, 166.9.28.20, 166.9.28.203, 166.9.28.22, 166.9.28.23, 166.9.28.235, 166.9.28.24, 166.9.28.240, 166.9.28.43, 166.9.28.64, 166.9.28.84, 166.9.28.87, 166.9.28.91, 166.9.28.94, 166.9.28.95, 166.9.30.100, 166.9.30.11, 166.9.30.116, 166.9.30.12, 166.9.30.13, 166.9.30.22, 166.9.30.41, 166.9.30.54, 166.9.30.56, 166.9.30.9, 166.9.30.92, 166.9.32.101, 166.9.32.185, 166.9.32.20, 166.9.32.26, 166.9.32.27, 166.9.32.44, 166.9.32.54, 166.9.32.56, 166.9.32.84, 166.9.32.88, 166.9.32.9, 166.9.248.77, 166.9.248.106, 166.9.248.137
Madrid (mad02, mad04, mad05) 166.9.94.6, 166.9.95.6, 166.9.96.6, 166.9.94.7, 166.9.95.7, 166.9.96.7
Osaka (osa21, osa22,osa23) 166.9.70.6, 166.9.70.8, 166.9.71.8, 166.9.71.10, 166.9.72.9, 166.9.72.10, 166.9.247.41, 166.9.247.75, 166.9.247.107
Großbritannien (Süden) (lon02,lon04, lon05, lon06) 166.9.34.17, 166.9.34.41, 166.9.34.45, 166.9.34.5, 166.9.34.50, 166.9.34.6, 166.9.34.77, 166.9.36.10, 166.9.36.11, 166.9.36.12, 166.9.36.13, 166.9.36.23, 166.9.36.30, 166.9.36.53, 166.9.36.65, 166.9.36.95, 166.9.38.18, 166.9.38.28, 166.9.38.46, 166.9.38.54, 166.9.38.6, 166.9.38.7, 166.9.38.75, 166.9.244.12, 166.9.244.48, 166.9.244.75
Vereinigte Staaten, Osten (mon01, tor01, wdc04, wdc06, wdc07) 166.9.20.11, 166.9.20.117, 166.9.20.12, 166.9.20.13, 166.9.20.187, 166.9.20.38, 166.9.20.42, 166.9.20.63, 166.9.20.80, 166.9.22.10, 166.9.22.109, 166.9.22.211, 166.9.22.215, 166.9.22.26, 166.9.22.43, 166.9.22.51, 166.9.22.52, 166.9.22.8, 166.9.22.9, 166.9.24.19, 166.9.24.196, 166.9.24.198, 166.9.24.22, 166.9.24.35, 166.9.24.4, 166.9.24.45, 166.9.24.47, 166.9.24.5, 166.9.24.90, 166.9.68.130, 166.9.68.134, 166.9.68.34, 166.9.68.47, 166.9.231.217, 166.9.232.15, 166.9.251.118
Vereinigte Staaten (Süden) (sao01, sjc03, sjc04, dal10, dal12, dal13) 166.9.12.140, 166.9.12.141, 166.9.12.142, 166.9.12.143, 166.9.12.144, 166.9.12.151, 166.9.12.193, 166.9.12.196, 166.9.12.26, 166.9.12.99, 166.9.13.31, 166.9.13.93, 166.9.13.94, 166.9.14.122, 166.9.14.125, 166.9.14.202, 166.9.14.204, 166.9.14.205, 166.9.14.95, 166.9.15.130, 166.9.15.69, 166.9.15.70, 166.9.15.71, 166.9.15.72, 166.9.15.73, 166.9.15.74, 166.9.15.75, 166.9.15.76, 166.9.16.113, 166.9.16.137, 166.9.16.149, 166.9.16.183, 166.9.16.184, 166.9.16.185, 166.9.16.38, 166.9.16.39, 166.9.16.5, 166.9.17.2, 166.9.17.35, 166.9.17.37, 166.9.17.39, 166.9.48.124, 166.9.48.171, 166.9.48.175, 166.9.48.240, 166.9.48.35, 166.9.48.50, 166.9.48.76, 166.9.51.104, 166.9.51.106, 166.9.51.16, 166.9.51.54, 166.9.51.74, 166.9.58.104, 166.9.58.11, 166.9.58.16, 166.9.58.170, 166.9.58.210, 166.9.58.64, 166.9.58.65, 166.9.59.125, 166.9.59.147, 166.9.61.15, 166.9.61.54, 166.9.85.114, 166.9.88.186, 166.9.88.196, 166.9.88.21, 166.9.228.8, 166.9.229.10, 166.9.230.9

Offene Ports

Öffnen Sie die folgenden Ports in Ihrer Zulassungsliste, damit Ihre Workerknoten ordnungsgemäß funktionieren. Die folgenden Ports müssen alle Ziel-IPs öffnen.

  • Abgehende TCP- und UDP-Verbindungen von den Workern zu den Ports 80 und 443 zulassen, um das Aktualisieren und erneute Laden von Workerknoten zu ermöglichen.
  • Abgehende TCP- und UDP-Verbindungen zu Port 2049 zulassen, um das Anhängen von Dateispeicher als Datenträger zu ermöglichen.
  • Abgehende TCP- und UDP-Verbindungen zu Port 3260 zulassen, um die Kommunikation mit Blockspeicher zu ermöglichen.
  • Eingehende TCP- und UDP-Verbindungen zu Port 10250 für das Kubernetes-Dashboard und Kubernetes-Befehle wie kubectl logs und kubectl exec zulassen.
  • Eingehende und abgehende TCP- und UDP-Verbindungen zu TCP- und UDP-Port 53 für den DNS-Zugriff zulassen.

Kommunikation zwischen Workerknoten aktivieren

Ermöglichen Sie die Kommunikation von Worker zu Worker, indem Sie den gesamten TCP-, UDP-, VRRP- und IPEncap-Verkehr zwischen Worker-Knoten auf den privaten Schnittstellen zulassen und auch VRRP auf der öffentlichen Schnittstelle zulassen. IBM Cloud Kubernetes Service verwendet das VRRP-Protokoll zur Verwaltung von IP-Adressen für Load Balancer und das IPEncap-Protokoll, um den Pod-zu-Pod-Verkehr über Subnetze hinweg zu ermöglichen.

Workerknoten die Kommunikation mit IBM Cloud Container Registry ermöglichen

Damit Workerknoten mit IBM Cloud Container Registry kommunizieren können, müssen Sie abgehenden Netzverkehr von den Workerknoten an IBM Cloud Container Registry-Regionen zulassen.

  • TCP port 443 FROM <each_worker_node_privateIP> TO <registry_ip>
  • Ersetzen Sie <registry_ip> durch die Registry-IP-Adresse, an die Sie Datenverkehr zulassen möchten. In der globalen Registry werden von IBM bereitgestellte öffentliche Images gespeichert. Ihre eigenen privaten oder öffentlichen Images werden in regionalen Registrys gespeichert.

Am 23. Juni 2022 haben sich nur die Regionen br-sao und ca-tor geändert. Die übrigen Regionen wurden am 5. Weitere Informationen finden Sie unter Private Container Registry IP-Adressen geändert am 5. Juli 2022.

Zu öffnende IP-Adressen für Registry-Datenverkehr
IBM Cloud Kubernetes Service-Region Registry-Adresse Registrierung privater IP-Adressen bis zum 5. Juli 2022 Registrierung privater IP-Adressen nach dem 5. Juli 2022
Über IBM Cloud Kubernetes Service-Regionen hinweg verfügbare globale Registry private.icr.io cp.icr.io 166.9.20.31, 166.9.22.22, 166.9.24.16 166.9.251.49, 166.9.251.82, 166.9.251.113
Asiatisch-pazifischer Raum (Norden) private.jp.icr.io 166.9.40.20, 166.9.42.21, 166.9.44.12 166.9.249.104, 166.9.249.157, 166.9.249.168
Asien-Pazifik (Süden) private.au.icr.io 166.9.52.20, 166.9.54.19, 166.9.56.13 166.9.244.106, 166.9.244.136, 166.9.244.170
EU (Zentral) private.de.icr.io 166.9.28.35, 166.9.30.2, 166.9.32.2 166.9.248.76, 166.9.248.105, 166.9.248.136
Madrid private.es.icr.io Nicht zutreffend 166.9.248.76, 166.9.248.105, 166.9.248.136
Osaka private.jp2.icr.io 166.9.70.4, 166.9.71.5, 166.9.72.6 166.9.247.39, 166.9.247.73, 166.9.247.105
Sao Paulo private.br.icr.io 166.9.82.13, 166.9.83.13, 166.9.84.13 166.9.246.72, 166.9.246.104, 166.9.246.130
Toronto private.ca.icr.io 166.9.76.12, 166.9.77.11, 166.9.78.11 166.9.247.143, 166.9.247.170, 166.9.247.207
Großbritannien (Süden) private.uk.icr.io 166.9.36.19, 166.9.38.14, 166.9.34.12 166.9.244.9, 166.9.244.45, 166.9.244.73
Vereinigte Staaten (Osten), Vereinigte Staaten (Süden) private.us.icr.io 166.9.12.227, 166.9.15.116, 166.9.16.244 166.9.250.214, 166.9.250.246, 166.9.251.21

Anforderung für persistenten Datenträger erstellen

Um Anforderungen nach persistenten Datenträgern (Persistent Volume Claims, PVCs) in einem Cluster zu erstellen, in dem Workerknoten nur mit privaten VLANs verbunden sind, stellen Sie sicher, dass Ihr Cluster mit der folgenden Kubernetes-Version oder mit den folgenden Versionen des IBM Cloud-Speicher-Plug-ins eingerichtet ist. Diese Versionen ermöglichen die Kommunikation über das private Netz aus Ihrem Cluster zu Instanzen des persistenten Speichers (PV-Instanzen).

Übersicht der erforderlichen Kubernetes oder IBM Cloud Speicher-Plug-in-Versionen für private Cluster
Speichertyp Erforderliche Version
Dateispeicher Kubernetes Version 1.13.4_1512, 1.12.6_1544, 1.11.8_1550, 1.10.13_1551 oder höher
Blockspeicher IBM Cloud Block Storage-Plug-in Version 1.3.0 oder höher
Objektspeicher IBM Cloud Object Storage-Plug-in Version 1.0.3 oder höher; IBM Cloud Object Storage-Servicekonfiguration mit HMAC-Authentifizierung

Wenn Sie eine Kubernetes Version oder IBM Cloud Speicher-Plug-in-Version verwenden müssen, die keine Netzwerkkommunikation über das private Netzwerk unterstützt, oder wenn Sie IBM Cloud Object Storage ohne HMAC-Authentifizierung verwenden möchten, erlauben Sie den Egress-Zugriff über Ihre Zulassen-Liste auf IBM Cloud Infrastruktur und IBM Cloud Identity and Access Management:

  • Lassen Sie Egress-Netzverkehr über TCP-Port 443 zu.
  • Lassen Sie den Zugriff auf den IP-Bereich der IBM Cloud-Infrastruktur für die Zone, in der sich Ihr Cluster befindet, sowohl für das Front-End-Netz (öffentlich) als auch für das Back-End-Netz (privat) zu. Sie können die Zone Ihres Clusters durch Ausführen des Befehls ibmcloud ks cluster ls ermitteln.

Optional: Einrichten von Regeln für die Zulassen-Liste für die Dienste IBM Cloud Logs und IBM Cloud Monitoring

Um Protokollierungs- und Metrikdaten zu senden, richten Sie für Ihre Dienste IBM Cloud Logs und IBM Cloud Monitoring Regeln für die Erlaubnisliste ein.

Ports in einer öffentlichen oder privaten Zulassungsliste für eingehenden Datenverkehr öffnen

Sie können eingehenden Zugriff auf NodePort-, Load Balancer- und Ingress-Services zulassen.

NodePort-Service
Öffnen Sie den Port, den Sie konfiguriert haben, als Sie den Service für die öffentlichen oder privaten IP-Adressen für alle Workerknoten bereitgestellt haben, um den Datenverkehr zuzulassen. Führen Sie kubectl get svc aus, um den Port zu suchen. Der Port liegt im Bereich 20000-32000.
Lastausgleichsservice
Öffnen Sie den Port, den Sie bei der Bereitstellung des Load Balancer-Service an der öffentlichen oder privaten IP-Adresse konfiguriert haben.
Ingress
Öffnen Sie Port 80 für HTTP und Port 443 für HTTPS an der öffentlichen oder privaten IP-Adresse für die Ingress-Lastausgleichsfunktion für Anwendungen.
Route
Öffnen Sie Port 80 für HTTP und Port 443 für HTTPS für die öffentliche IP-Adresse des Routers.

Zugriff des Clusters auf Ressourcen über Calico-Netzrichtlinien zulassen

Anstatt ein Gateway-Allowlist-Gerät einzurichten, können Sie Calico Netzwerkrichtlinien verwenden, die als Cluster-Allowlist im öffentlichen oder privaten Netzwerk fungieren. Vollständige Informationen finden Sie in den folgenden Abschnitten:

Zulassen von Datenverkehr aus Ihrem Cluster in den Zulassungslisten anderer Dienste oder in lokalen Zulassungslisten

Wenn Sie auf Dienste zugreifen möchten, die innerhalb oder außerhalb von IBM Cloud oder vor Ort ausgeführt werden und die durch eine Zulassen-Liste geschützt sind, können Sie die IP-Adressen Ihrer Arbeitsknoten in diese Zulassen-Liste aufnehmen, um den ausgehenden Netzwerkverkehr zu Ihrem Cluster zuzulassen. So können Sie beispielsweise Daten aus einer IBM Cloud-Datenbank lesen, die durch eine Zulässigkeitsliste geschützt ist, oder die Subnetze Ihrer Arbeitsknoten in einer lokalen Zulässigkeitsliste angeben, um den Netzwerkverkehr von Ihrem Cluster zuzulassen.

  1. Melden Sie sich an Ihrem Konto an. If applicable, target the appropriate resource group. Legen Sie den Kontext für den Cluster fest.

  2. Rufen Sie die Teilnetze oder IP-Adressen der Workerknoten ab.

    • Arbeiterknoten-Subnetze: Wenn Sie davon ausgehen, dass sich die Anzahl der Arbeitsknoten in Ihrem Cluster häufig ändert, z. B. wenn Sie den Cluster-Auto-Scaler aktivieren, möchten Sie Ihre Zulassen-Liste möglicherweise nicht für jeden neuen Arbeitsknoten aktualisieren. Stattdessen können Sie die VLAN-Teilnetze, die der Cluster verwendet, hinzufügen. Beachten Sie dabei, dass das VLAN-Teilnetz möglicherweise mit Workerknoten in anderen Clustern gemeinsam genutzt wird. Dabei ist zu beachten, dass die primären öffentlichen Teilnetze, die von IBM Cloud Kubernetes Service für Ihren Cluster bereitgestellt werden, 14 verfügbare IP-Adressen umfassen und mit anderen Clustern im selben VLAN gemeinsam genutzt werden können. Wenn Sie mehr als 14 Workerknoten haben, wird ein weiteres Teilnetz bestellt, sodass sich die Anzahl der Teilnetze, die Sie zulassen müssen, ändern kann. Zur Verringerung der Änderungshäufigkeit können Sie Worker-Pools mit Typen von Workerknoten mit höheren Kapazitäten an CPU- und Speicherressourcen erstellen, sodass Sie nicht oft Workerknoten hinzufügen müssen.

      1. Listen Sie die Workerknoten in Ihrem Cluster auf.

        ibmcloud ks worker ls --cluster <cluster_name_or_ID>

      2. Notieren Sie in der Ausgabe des Befehls im vorherigen Schritt alle eindeutigen Netz-IDs (erste drei Oktette) der Spalte Public IP für die Workerknoten in Ihrem Cluster. Wenn Sie den Datenverkehr von einem rein privaten Cluster zulassen möchten, notieren Sie stattdessen die IP-Adressen der Spalte Private IP. In der folgenden Ausgabe sind 169.xx.178 und 169.xx.210 sind eindeutigen Netz-IDs.

        ID                                                  Public IP        Private IP     Machine Type        State    Status   Zone    Version   
kube-dal10-crb2f60e9735254ac8b20b9c1e38b649a5-w31   169.xx.178.101   10.xxx.xx.xxx   b3c.4x16.encrypted   normal   Ready    dal10   1.32   
kube-dal10-crb2f60e9735254ac8b20b9c1e38b649a5-w34   169.xx.178.102   10.xxx.xx.xxx   b3c.4x16.encrypted   normal   Ready    dal10   1.32  
kube-dal12-crb2f60e9735254ac8b20b9c1e38b649a5-w32   169.xx.210.101   10.xxx.xx.xxx   b3c.4x16.encrypted   normal   Ready    dal12   1.32   
kube-dal12-crb2f60e9735254ac8b20b9c1e38b649a5-w33   169.xx.210.102   10.xxx.xx.xxx   b3c.4x16.encrypted   normal   Ready    dal12   1.32

      3. Listen Sie die VLAN-Teilnetze für jede eindeutige Netz-ID auf.

        ibmcloud sl subnet list | grep -e <networkID1> -e <networkID2>

        Beispielausgabe

        ID        identifier       type                 network_space   datacenter   vlan_id   IPs   hardware   virtual_servers
1234567   169.xx.210.xxx   ADDITIONAL_PRIMARY   PUBLIC          dal12        1122334   16    0          5   
7654321   169.xx.178.xxx   ADDITIONAL_PRIMARY   PUBLIC          dal10        4332211   16    0          6

      4. Ermitteln Sie die Teilnetzadresse. Suchen Sie in der Ausgabe die Anzahl von IPs. Bilden Sie die Potenz 2 hoch n, die gleich der Anzahl IPs ist. Beispiel: Wenn die Anzahl der IPs 16 ist, dann entspricht dies der Potenz 2 hoch 4 (n) gleich 16. Ermitteln Sie jetzt das Teilnetz-CIDR, indem Sie den Wert n von 32 Bit subtrahieren. Beispiel: Wenn n gleich 4 ist, dann ist der CIDR-Wert gleich 28 (nach der Gleichung: 32 - 4 = 28). Kombinieren Sie die Netz-ID-Maske mit dem CIDR-Wert, um die vollständige Teilnetzadresse zu erhalten. In der vorherigen Ausgabe werden die folgenden Teilnetzadressen angegeben:

        • 169.xx.210.xxx/28
        • 169.xx.178.xxx/28

    • Einzelne IP-Adressen für Workerknoten: Wenn Sie eine kleine Anzahl von Workerknoten haben, die nur eine App ausführen und nicht skaliert werden müssen, oder wenn Sie nur einen Workerknoten hinzufügen möchten, listen Sie alle Workerknoten in Ihrem Cluster auf und notieren Sie die Öffentliche IP-Adressen. Wenn Ihre Workerknoten nur mit einem privaten Netz verbunden sind und Sie eine Verbindung zu IBM Cloud-Services über den Private-Cloud-Serviceendpunkt herstellen wollen, notieren Sie stattdessen die IP-Adressen der Spalte Private IP. Es werden nur diese Workerknoten hinzugefügt. Wenn Sie die Arbeiterknoten löschen oder dem Cluster Arbeiterknoten hinzufügen, müssen Sie die Zulässigkeitsliste entsprechend aktualisieren.

      ibmcloud ks worker ls --cluster <cluster_name_or_ID>

  3. Fügen Sie die CIDR- oder IP-Adressen des Teilnetzes in die Zulassungsliste Ihres Dienstes für ausgehenden Datenverkehr oder in Ihre lokale Zulassungsliste für eingehenden Datenverkehr ein.

  4. Wiederholen Sie diese Schritte für jeden Cluster, zu dem bzw. von dem Sie Datenverkehr zulassen möchten.

Aktualisierung der IAM-Zulassungslisten für Kubernetes Service Netzwerkzonen

Standardmäßig können alle IP-Adressen verwendet werden, um sich bei der IBM Cloud-Konsole anzumelden und Aktionen zum Verwalten Ihres Clusters auszuführen, wie z. B. Berechtigungsnachweise erstellen, aktualisieren, löschen oder anzeigen. In der IBM Cloud IAM-Konsole (Identity and Access Management) können Sie eine Zulassungsliste durch Angabe der IP-Adressen erstellen, die Zugriff haben; für alle übrigen IP-Adressen ist der Zugriff eingeschränkt.

In Ihrer Zulassen-Liste müssen Sie auch Netzwerkzonen in der IBM Cloud Kubernetes Service-Kontrollebene für die Region, in der sich Ihr Cluster befindet, konfigurieren, damit IBM Cloud Kubernetes Service Komponenten wie Ingress ALBs erstellen oder darauf zugreifen kann

Bevor Sie beginnen, müssen Sie in den folgenden Schritten die IAM-Zulassungsliste für den Benutzer ändern, dessen Berechtigungsnachweise für die Infrastrukturberechtigungen der Clusterregion und -ressourcengruppe verwendet werden. Wenn Sie der Eigentümer der Berechtigungsnachweise sind, können Sie Ihre eigenen Einstellungen für die IAM-Zulassungsliste ändern. Wenn Sie nicht der Eigentümer der Anmeldeinformationen sind, Ihnen aber die IAM-Plattform-Zugangsrolle Editor oder Administrator IBM Cloud für den User Management-Dienst zugewiesen wurde, können Sie die Netzwerke für den Eigentümer der Anmeldeinformationen aktualisieren.

  1. Geben Sie an, welche Berechtigungsnachweise für die Infrastrukturberechtigungen für die Region und die Ressourcengruppen des Clusters verwendet werden.

    1. Prüfen Sie den API-Schlüssel auf eine Region und Ressourcengruppe des Clusters.

      ibmcloud ks api-key info --cluster <cluster_name_or_ID>

      Beispielausgabe

      Getting information about the API key owner for cluster <cluster_name>...
OK
Name                Email   
<user_name>         <name@email.com>

    2. Prüfen Sie, ob im Infrastrukturkonto für die Region und die Ressourcengruppe manuell angegeben wurde, dass ein anderes Konto der IBM Cloud-Infrastruktur verwendet werden soll.

      ibmcloud ks credential get --region <us-south>

      Beispielausgabe, wenn die Berechtigungsnachweise für die Verwendung eines anderen Kontos eingerichtet wurden. In diesem Fall werden die Infrastrukturberechtigungsnachweise des Benutzers für die Region und die Ressourcengruppe verwendet, die Sie ausgewählt haben, auch wenn die Berechtigungsnachweise eines anderen Benutzers in dem API-Schlüssel gespeichert sind, den Sie im vorherigen Schritt abgerufen haben.

      OK
Infrastructure credentials for user name <1234567_name@email.com> set for resource group <resource_group_name>.

      Beispielausgabe, wenn die Berechtigungsnachweise nicht für die Verwendung eines anderen Kontos eingerichtet wurden. In diesem Fall verfügt der Eigner des im vorherigen Schritt abgerufenen API-Schlüssels über die Infrastrukturberechtigungsnachweise, die für die Region und die Ressourcengruppe verwendet werden.

      FAILED
No credentials set for resource group <resource_group_name>.: The user credentials could not be found. (E0051)

  2. Melden Sie sich bei der Konsole IBM Cloud an.

  3. Erstellen Sie Netzwerkzonen, die die Kubernetes Service IPs entweder für alle Regionen oder nur für die Regionen, in denen Sie Cluster haben, enthalten.

    1. Klicken Sie in dem Konto, in dem sich der Cluster befindet, in der Menüleiste auf Verwalten > Kontextbasierte Einschränkungen.

    2. Klicken Sie auf Netzwerkzonen > Erstellen.

    3. Geben Sie für Name einen beschreibenden Namen für die Netzwerkzone ein, z. B. us-south-kubernetes-service-network-zone.

    4. Geben Sie keine Werte für die Abschnitte Zugelassene IP-Adressen und Zugelassene VPCs ein.

    5. Wählen Sie im Abschnitt Verweis auf einen Dienst Kubernetes Service und klicken Sie auf +.

    6. Für Orte können Sie entweder das Feld leer lassen, so dass alle Orte verwendet werden, was für Cluster in anderen Regionen gilt, oder Sie können eine einzelne Region angeben.

    7. Klicken Sie auf Weiter und überprüfen Sie die Auswahl.

    8. Klicken Sie auf Erstellen.

    9. Wiederholen Sie den Vorgang für weitere Zonen.

  4. Fügen Sie die Namen der Netzwerkzonen zu Ihrer IAM-Zulassungsliste hinzu.

    1. Klicken Sie in der Menüleiste auf Verwalten > Zugriff (IAM), und wählen Sie Einstellungen.

    2. Wählen Sie unter "IP-Adresszugriff einschränken " die Option "Aktivieren" aus und geben Sie den Namen der Netzwerkzone aus dem vorherigen Schritt ein.

    3. Klicken Sie auf Anwenden.

Teilnetz-IP-Adressen für Kubernetes Service abrufen

Führen Sie die Schritte zum Abrufen der richtigen Teilnetz-IP-Adressen aus, die Ihrer IAM-Zulassungsliste hinzugefügt werden sollen.

Teilnetz-IP-Adressen in der Konsole abrufen

  1. Klicken Sie in der Ressourcenliste der Konsole IBM Cloud auf Ihren Cluster.
  2. Klicken Sie auf Worker-Knoten.
  3. Beachten Sie jedes öffentliche VLAN, das von den Workerknoten in Ihrem Cluster verwendet wird. Möglicherweise verwenden mehrere Workerknoten dasselbe öffentliche VLAN.
  4. Klicken Sie im Menü von IBM Cloud spielkonsole auf Menü-Symbol, dann auf Infrastruktur > Klassische Infrastruktur > IP-Management > VLANs.
  5. Klicken Sie auf jedes öffentliche VLAN, um zu überprüfen, ob es von den Arbeitsknoten in Ihrem Verbund verwendet wird.
  6. Suchen Sie für jedes öffentliche VLAN, das von den Workerknoten in Ihrem Cluster verwendet wird, den Abschnitt Teilnetze und notieren Sie sich alle in der Tabelle enthaltenen IP-Adressen. Dies sind die IP-Adressen, die Sie in Ihre Zulassungsliste aufnehmen müssen.

Teilnetz-IP-Adressen in der CLI abrufen

  1. Listen Sie die öffentlichen VLANs auf, die Ihre Workerknoten verwenden. Die Ausgabe wird als publicVLAN=<vlan_id> formatiert.

    kubectl describe nodes | grep publicVLAN | sort | uniq

  2. Suchen Sie für jedes öffentliche VLAN die zugehörigen öffentlichen Teilnetze. Notieren Sie in der Ausgabe die IP-Adressen des Teilnetzes in der Spalte identifier.

    ibmcloud sl subnet list | grep <vlan-id>

    Beispielausgabe von Teilnetzen, die dem öffentlichen VLAN mit der ID 2761690 zugeordnet sind

    ID        identifier        type                 network_space   datacenter   vlan_id   IPs   hardware   virtual_servers  
1962263   169.62.46.56      SECONDARY_ON_VLAN    PUBLIC          wdc07        2761690   8     0          0   
2008207   169.62.39.248     SECONDARY_ON_VLAN    PUBLIC          wdc07        2761690   8     0          0   
2342562   169.62.2.128      ADDITIONAL_PRIMARY   PUBLIC          wdc07        2761690   16    0          5

  3. Listen Sie Ihre Workerknoten auf und rufen Sie ihre öffentlichen IP-Adressen ab. In der Ausgabe werden die öffentlichen IP-Adressen in der Spalte External-IP aufgelistet. Notieren Sie, welche dieser IP-Adressen in den zuvor aufgelisteten Teilnetzen enthalten sind, und notieren Sie diese Teilnetz-IDs.

  4. Führen Sie für jede Teilnetz-ID den Befehl zum Abrufen der Teilnetzdetails aus. Notieren Sie in jeder Ausgabe die IP-Adresse in der Spalte identifier. Dies ist die IP-Adresse, die Sie zur IAM-Zulassungsliste hinzufügen müssen.

    ibmcloud sl subnet detail <subnet_id>

    Beispielausgabe

    Name             Value   
ID               2342562   
identifier       169.62.2.128/28   
subnet type      ADDITIONAL_PRIMARY   
network space    PUBLIC   
gateway          169.62.2.129   
broadcast        169.62.2.143   
datacenter       wdc07   
usable ips       13   
IP address       ID          IP address      
                186531376   169.62.2.128      
                186531378   169.62.2.129      
                186531380   169.62.2.130      
                186531382   169.62.2.131      
                186531384   169.62.2.132      
                186531386   169.62.2.133      
                186531388   169.62.2.134      
                186531390   169.62.2.135      
                186531392   169.62.2.136      
                186531394   169.62.2.137      
                186531396   169.62.2.138      
                186531398   169.62.2.139      
                186531400   169.62.2.140      
                186531402   169.62.2.141      
                186531404   169.62.2.142      
                186531406   169.62.2.143      

virtual guests   hostname                                                 domain    public_ip      private_ip      
                kube-c8ofi5pw077drsbovf90-roks47class-default-00000187   iks.ibm   169.62.2.130   10.191.55.109      
                kube-c8ofi5pw077drsbovf90-roks47class-default-000002a2   iks.ibm   169.62.2.133   10.191.55.108      
                kube-c8ofi5pw077drsbovf90-roks47class-default-00000372   iks.ibm   169.62.2.135   10.191.55.121      
                kube-c8ofh6kw0jj8l6jovf8g-iks22classi-default-00000219   iks.ibm   169.62.2.132   10.191.55.105      
                kube-c8ofh6kw0jj8l6jovf8g-iks22classi-default-0000012f   iks.ibm   169.62.2.134   10.191.55.107