Abrir los puertos y direcciones IP necesarios en su lista de permitidos

Clústeres clásicos

Esta información de la lista de permisos es específica de los clusters clásicos. Para los clústeres de VPC, consulte Cómo abrir los puertos y las direcciones IP necesarios en su lista de permitidos para clústeres de VPC.

Revise estas situaciones en las que podría necesitar abrir puertos específicos y direcciones IP en sus listas de permisos para sus clusters IBM Cloud® Kubernetes Service.

Listas de permisos corporativas: Si las políticas de la red corporativa impiden el acceso desde su sistema local a los endpoints públicos a través de proxies o allowlists, debe permitir el acceso para ejecutar los comandos ibmcloud, ibmcloud ks, ibmcloud cr, kubectl, y calicoctl desde su sistema local.
Gateway appliance allowlists: Si tiene listas de permisos configuradas en la red pública o privada en su cuenta de infraestructura de IBM Cloud, como una VRA, debe abrir rangos de IP, puertos y protocolos para permitir que los nodos trabajadores se comuniquen con el maestro, con los recursos de infraestructura y con otros servicios de IBM Cloud. También puede abrir puertos para permitir el tráfico de entrada a los servicios que exponen apps en el clúster.
Calico políticas de red: Si utiliza las políticas de red de Calico para que actúen como una lista de permisos que restrinja la salida de todos los nodos de los trabajadores, debe permitir que estos accedan a los recursos necesarios para el funcionamiento del clúster.
Otros servicios o listas de permisos de red: Para permitir que su clúster acceda a servicios que se ejecutan dentro o fuera de IBM Cloud o en redes locales y que están protegidos por una allowlist, debe añadir las direcciones IP de sus nodos trabajadores en dicha allowlist.

Abrir puertos en una lista de permisos corporativa

Si las políticas de la red corporativa impiden el acceso desde su sistema local a los puntos finales públicos a través de proxies o listas de permisos, debe permitir el acceso para ejecutar los comandos ibmcloud, ibmcloud ks, y ibmcloud cr, los comandos kubectl y los comandos calicoctl desde su sistema local.

Ejecución de los comandos `ibmcloud`, `ibmcloud ks`, y `ibmcloud cr` desde detrás de una allowlist

Si las políticas de la red corporativa impiden el acceso desde su sistema local a los puntos finales públicos a través de proxies o allowlists, para ejecutar los comandos ibmcloud, ibmcloud ks y ibmcloud cr, debe permitir el acceso TCP para IBM Cloud, IBM Cloud Kubernetes Service y IBM Cloud Container Registry.

Permita el acceso a cloud.ibm.com en el puerto 443 en su lista de permitidos.
Verifique la conexión iniciando una sesión en IBM Cloud a través de este punto final de API.
```
ibmcloud login -a https://cloud.ibm.com/
```
Permita el acceso a containers.cloud.ibm.com en el puerto 443 en su lista de permitidos.

Compruebe la conexión. Si el acceso está configurado correctamente, las zonas se muestran en la salida.

curl https://containers.cloud.ibm.com/v1/zones

Salida de ejemplo

[{"id":"mon01","metro":""},{"id":"tor01","metro":""},{"id":"wdc04","metro":"Washington D.C."},{"id":"wdc06","metro":"Washington D.C."},{"id":"wdc07","metro":"Washington D.C."}]

Permita el acceso a las regiones de IBM Cloud Container Registry que planea utilizar en el puerto 443 en su lista de permisos. El registro global almacena imágenes públicas proporcionadas por IBM y los registros regionales almacenan sus propias imágenes privadas o públicas.
Verifique su conexión listando los espacios de nombres del registro de su contenedor.

Ejecución de mandatos `kubectl` desde detrás de una lista de elementos permitidos

Si las políticas de la red corporativa impiden el acceso desde su sistema local a los puntos finales públicos a través de proxies o allowlists, para ejecutar comandos kubectl, debe permitir el acceso TCP para el clúster.

Cuando se crea un clúster, el puerto en los URL de punto final de servicio se asigna aleatoriamente del rango 30000-32767. Puede optar por abrir el rango de puertos 30000-32767 para cualquier clúster que se pueda crear o puede optar por permitir el acceso para un clúster existente específico.

Antes de empezar, permita el acceso para ejecutar mandatos ibmcloud ks.

Para permitir el acceso a un clúster específico:

Inicie una sesión en la CLI de IBM Cloud. Escriba sus credenciales de IBM Cloud cuando se le solicite. Si tiene una cuenta federada, incluya la opción --sso.
```
ibmcloud login [--sso]
```
Si el clúster está en un grupo de recursos distinto de default, elija como destino dicho grupo de recursos. Para ver el grupo de recursos al que pertenece cada clúster, ejecute ibmcloud ks cluster ls. Nota: Debe tener al menos el rol de Visor para el grupo de recursos.
```
ibmcloud target -g <resource_group_name>
```
Obtenga el nombre del clúster.
```
ibmcloud ks cluster ls
```
Recupere los URL de punto final de servicio para el clúster.
- Si solo está especificado el URL de punto final de servicio público, obtenga este URL. Los usuarios autorizados del clúster pueden acceder al nodo maestro a través de este punto final en la red pública.
- Si solo está especificado el URL de punto final de servicio privado, obtenga este URL. Los usuarios autorizados del clúster pueden acceder al nodo maestro a través de este punto final en la red privada.
- Si tanto el URL de punto final de servicio público como el URL de punto final de servicio privado están especificados, obtenga los dos URL. Los usuarios autorizados del clúster pueden acceder al nodo maestro a través del punto final público de la red pública o del punto final privado de la red privada.
```
ibmcloud ks cluster get --cluster <cluster_name_or_ID>
```
Salida de ejemplo
```
...
Public Service Endpoint URL:    https://c3.<region>.containers.cloud.ibm.com:30426
Private Service Endpoint URL:   https://c3-private.<region>.containers.cloud.ibm.com:31140
...
```
Permita el acceso a los URL de punto final de servicio y a los puertos que ha obtenido en el paso anterior. Si tu lista de permitidos está basada en IP, puedes ver qué direcciones IP se abren cuando permites el acceso a las URLs de los puntos finales de servicio revisando esta tabla.

Compruebe la conexión.

Si el punto final de servicio en la nube público está habilitado:

curl --insecure <public_service_endpoint_URL>/version

Mandato de ejemplo:

curl --insecure https://c3.<region>.containers.cloud.ibm.com:31142/version

Salida de ejemplo

{
"major": "1",
"minor": "7+",
"gitVersion": "v1.7.4-2+eb9172c211dc41",
"gitCommit": "eb9172c211dc4108341c0fd5340ee5200f0ec534",
"gitTreeState": "clean",
"buildDate": "2017-11-16T08:13:08Z",
"goVersion": "go1.8.3",
"compiler": "gc",
"platform": "linux/amd64"
}

Si está habilitado el punto final de servicio en la nube privado, debe estar en la red privada de IBM Cloud o debe conectarse a la red privada a través de una conexión VPN para verificar la conexión con el nodo maestro. Nota: Debe exponer el punto final maestro a través de un equilibrador de carga privado para que los usuarios puedan acceder al nodo maestro a través de una conexión VPN o IBM Cloud® Direct Link.
```
curl --insecure <private_service_endpoint_URL>/version
```
Mandato de ejemplo:
```
curl --insecure https://c3-private.<region>.containers.cloud.ibm.com:31142/version
```
Salida de ejemplo
```
{
"major": "1",
"minor": "7+",
"gitVersion": "v1.7.4-2+eb9172c211dc41",
"gitCommit": "eb9172c211dc4108341c0fd5340ee5200f0ec534",
"gitTreeState": "clean",
"buildDate": "2017-11-16T08:13:08Z",
"goVersion": "go1.8.3",
"compiler": "gc",
"platform": "linux/amd64"
}
```

Opcional: repita estos pasos para cada clúster que necesite exponer.

Ejecución de mandatos `calicoctl` desde detrás de una lista de elementos permitidos

Si las políticas de la red corporativa impiden el acceso desde su sistema local a los puntos finales públicos a través de proxies o allowlists, para ejecutar comandos calicoctl, debe permitir el acceso TCP para los comandos Calico.

Antes de empezar, permita el acceso para ejecutar los comandos ibmcloud y kubectl.

Recupere la dirección IP del maestro URL que utilizó para permitir los comandos kubectl.

Obtenga el puerto para etcd.

kubectl get cm -n kube-system cluster-info -o yaml | grep etcd_host

Permita el acceso para las políticas de Calico mediante la dirección IP del URL maestro y el puerto etcd.

Apertura de puertos en las listas de permisos de los dispositivos de puerta de enlace

Si tiene listas de permisos configuradas en la red pública o en la red privada en su cuenta de infraestructura IBM Cloud, como Virtual Router Appliance (Vyatta), debe abrir rangos de IP, puertos y protocolos para permitir que los nodos trabajadores se comuniquen con el maestro, con los recursos de infraestructura y con otros servicios de IBM Cloud.

Abrir los puertos necesarios en una lista pública

Si tiene una allowlist en la red pública en su cuenta de infraestructura IBM Cloud, como Virtual Router Appliance (Vyatta), debe abrir rangos de IP, puertos y protocolos en su allowlist para permitir que los nodos trabajadores se comuniquen con el maestro, con los recursos de infraestructura y con otros servicios de IBM Cloud.

Antes de empezar, apunte la dirección IP pública de cada uno de los nodos trabajadores del clúster.

ibmcloud ks worker ls --cluster <cluster_name_or_ID>

Permita que los nodos trabajadores se comuniquen con el maestro del clúster

Para permitir que los nodos de trabajador se comuniquen con el maestro de clúster a través del punto final de servicio de nube pública, permita el tráfico de red saliente desde el <each_worker_node_publicIP> de origen al rango de puertos TCP/UDP de destino 30000-32767 y el puerto 443, y las siguientes direcciones IP y grupos de red.

Esta tabla se está moviendo. Para obtener las últimas listas de IP y actualizaciones continuas, consulte la carpeta de aislamiento de red pública en el IBM/kube-samples repositorio de . Puedes ver pull requests en el repositorio para actualizaciones.

TCP/UDP port range 30000-32767, port 443 FROM <each_worker_node_publicIP> TO <public_IPs>
Sustituya <public_IPs> por las direcciones IP públicas de la región en la que se encuentra el clúster.

Direcciones IP para abrir para el tráfico saliente
Región	Dirección IP pública
AP Norte (`che01`, `sng01`, `tok02`, `tok04`, `tok05`)	`119.81.194.90`, `119.81.222.210`, `128.168.106.194`, `128.168.71.117`, `128.168.75.194`, `128.168.85.154`, `135.90.69.66`, `135.90.69.82`, `161.202.126.210`, `161.202.154.10`, `161.202.186.226`, `161.202.56.10`, `161.202.57.34`, `165.192.69.69`, `165.192.80.146`, `165.192.83.202`, `165.192.95.90`, `169.38.68.178`, `169.38.70.10`, `169.38.79.170`, `169.56.1.162`, `169.56.132.234`, `169.56.48.114`, `169.56.69.242`, `169.56.96.42`, `104.94.220.124`, `104.94.221.124`, `104.94.222.132`, `104.94.223.132`, `104.96.176.124`, `104.96.177.124`, `104.96.178.126`, `104.96.179.126`, `104.96.180.123`, `104.96.181.123`
AP sur (`syd01`, `syd04`, `syd05`)	`130.198.64.19`, `130.198.66.26`, `130.198.79.170`, `130.198.83.34`, `130.198.102.82`, `135.90.66.2`, `135.90.68.114`, `135.90.69.66`, `135.90.69.82`, `135.90.89.234`, `168.1.6.106`, `168.1.8.195`, `168.1.12.98`, `168.1.39.34`, `168.1.58.66`, `104.94.220.125`, `104.94.221.125`, `104.94.222.133`, `104.94.223.133`, `104.96.176.125`, `104.96.177.125`, `104.96.178.127`, `104.96.179.127`, `104.96.180.124`, `104.96.181.124`
UE central (`ams03`, `mil01`, `par01`, `fra02`, `fra04`, `fra05`)	`149.81.103.98`, `149.81.104.122`, `149.81.113.154`, `149.81.123.18`, `149.81.142.90`, `149.81.180.114`, `149.81.180.122`, `149.81.68.2`, `149.81.78.114`, `158.177.102.162`, `158.177.107.50`, `158.177.112.146`, `158.177.138.138`, `158.177.151.2`, `158.177.156.178`, `158.177.198.138`, `158.177.79.34`, `159.122.141.69`, `159.122.150.2`, `159.8.79.250`, `159.8.86.149`, `159.8.95.34`, `161.156.115.138`, `161.156.120.74`, `161.156.12.82`, `161.156.183.218`, `161.156.187.226`, `161.156.65.42`, `161.156.65.82`, `161.156.74.10`, `161.156.79.26`, `169.50.146.82`, `169.50.169.110`, `169.50.184.18`, `169.50.56.174`, `169.51.197.18`, `104.94.220.127`, `104.94.221.127`, `104.94.222.135`, `104.94.223.135`, `104.96.176.127`, `104.96.177.127`, `104.96.178.129`, `104.96.179.129`, `104.96.180.126`, `104.96.181.126`
Madrid (`mad02`, `mad04`, `mad05`)	`13.120.65.98`, `13.120.127.250`, `13.121.64.178`, `13.121.64.186`, `13.122.65.10`, `13.122.65.34`, `2.18.48.89`, `2.18.49.89`, `2.18.50.89`, `2.18.51.89`, `2.18.52.89`, `2.18.53.89`, `2.18.54.89`, `2.18.55.89`, `23.40.100.89`, `23.7.244.89`
Osaka (`osa21`, `osa22`,`osa23`)	`163.68.69.114`, `163.68.69.122`, `163.69.65.114`, `163.69.65.122`, `163.73.64.250`, `163.73.65.194`, `104.94.220.131`, `104.94.221.131`, `104.94.222.139`, `104.94.223.139`, `104.96.176.131`, `104.96.177.131`, `104.96.178.133`, `104.96.179.133`, `104.96.180.130`, `104.96.181.130`
São Paulo (`sao01`, `sao04`, `sao05`)	`163.107.65.194`, `163.107.65.202`, `163.109.65.154`, `163.109.65.242`, `169.57.159.130`, `169.57.254.50`, `104.94.220.129`, `104.94.221.129`, `104.94.222.137`, `104.94.223.137`, `104.96.176.129`, `104.96.177.129`, `104.96.178.131`, `104.96.179.131`, `104.96.180.128`, `104.96.181.128`
Toronto (`tor01`, `tor04`, `tor05`)	`158.85.77.114`, `158.85.110.18`, `163.74.65.242`, `163.74.65.250`, `163.75.64.122`, `163.75.64.162`, `104.94.220.132`, `104.94.221.132`, `104.94.222.140`, `104.94.223.140`, `104.96.176.132`, `104.96.177.132`, `104.96.178.134`, `104.96.179.134`, `104.96.180.131`, `104.96.181.131`
RU sur (`lon02`, `lon04`, `lon05`, `lon06`)	`141.125.102.106`, `141.125.66.26`, `141.125.67.34`, `141.125.77.58`, `141.125.91.138`, `158.175.111.42`, `158.175.125.194`, `158.175.139.130`, `158.175.150.122`, `158.175.65.170`, `158.175.77.178`, `158.175.82.50`, `158.176.123.130`, `158.176.135.242`, `158.176.142.26`, `158.176.149.154`, `158.176.71.242`, `158.176.94.26`, `158.176.95.146`, `159.122.224.242`, `159.122.242.78`, `104.94.220.126`, `104.94.221.126`, `104.94.222.134`, `104.94.223.134`, `104.96.176.126`, `104.96.177.126`, `104.96.178.128`, `104.96.179.128`, `104.96.180.125`, `104.96.181.125`
EE. UU. este (`mon01`, `wdc04`, `wdc06`, `wdc07`)	`158.85.97.34`, `169.47.162.130`, `169.47.174.106`, `169.53.167.50`, `169.53.171.210`, `169.54.126.219`, `169.54.80.106`, `169.54.94.26`, `169.60.100.242`, `169.60.101.42`, `169.60.111.58`, `169.60.73.142`, `169.60.92.50`, `169.60.92.66`, `169.61.109.34`, `169.61.110.66`, `169.61.74.210`, `169.61.83.62`, `169.62.10.162`, `169.62.9.250`, `169.63.106.50`, `169.63.111.82`, `169.63.149.122`, `169.63.158.82`, `169.63.160.130`, `169.63.66.226`, `169.63.75.82`, `169.63.88.178`, `169.63.88.186`, `169.63.94.210`, `52.117.72.42`, `52.117.88.42`, `104.94.220.128`, `104.94.221.128`, `104.94.222.136`, `104.94.223.136`, `104.96.176.128`, `104.96.177.128`, `104.96.178.130`, `104.96.179.130`, `104.96.180.127`, `104.96.181.127`
Sur de EE.UU. (`sjc03`, `sjc04`, `dal10`, `dal12`, `dal13`)	`50.22.129.34`, `52.116.231.210`, `52.116.254.234`, `52.116.54.122`, `52.117.197.210`, `52.117.212.34`, `52.117.215.162`, `52.117.232.194`, `52.117.240.106`, `52.117.28.138`, `67.228.97.210`, `169.45.126.154`, `169.45.67.210`, `169.45.88.98`, `169.46.110.218`, `169.46.111.122`, `169.46.16.202`, `169.46.24.210`, `169.46.27.234`, `169.46.63.250`, `169.46.68.234`, `169.46.7.238`, `169.46.89.50`, `169.47.109.34`, `169.47.115.18`, `169.47.201.194`, `169.47.209.66`, `169.47.229.90`, `169.47.232.210`, `169.47.239.34`, `169.47.242.242`, `169.47.70.10`, `169.47.71.138`, `169.48.110.250`, `169.48.143.218`, `169.48.161.242`, `169.48.226.2`, `169.48.230.146`, `169.48.244.66`, `169.57.100.18`, `169.57.13.10`, `169.57.147.58`, `169.57.151.10`, `169.57.154.98`, `169.59.219.90`, `169.59.223.194`, `169.59.230.98`, `169.60.128.2`, `169.60.170.234`, `169.61.175.106`, `169.61.177.2`, `169.61.187.58`, `169.61.228.138`, `169.61.28.66`, `169.61.29.194`, `169.61.60.130`, `169.62.166.98`, `169.62.189.26`, `169.62.206.234`, `169.62.230.114`, `169.62.82.197`, `169.62.87.170`, `169.62.97.218`, `169.63.39.66`, `169.63.47.250`, `104.94.220.130`, `104.94.221.130`, `104.94.222.138`, `104.94.223.138`, `104.96.176.130`, `104.96.177.130`, `104.96.178.132`, `104.96.179.132`, `104.96.180.129`, `104.96.181.129`

Permita que los nodos trabajadores se comuniquen con IBM Cloud Container Registry

Permita el tráfico de red saliente desde sus nodos trabajadores a IBM Cloud Container Registry. Para obtener más información, consulte Acceso a IBM Cloud Container Registry a través de un cortafuegos.

Permita el tráfico de red saliente desde el nodo trabajador a IAM

Permita el tráfico de red de salida desde el nodo trabajador a IBM Cloud Identity and Access Management (IAM). Su allowlist debe ser Layer 7 para permitir el nombre de dominio IAM. IAM no tiene direcciones IP específicas que se pueda permitir. Si su lista de permisos no es compatible con la capa 7, puede permitir todo el tráfico de red de HTTPS en el puerto 443.

TCP port 443 FROM <each_worker_node_publicIP> TO https://iam.bluemix.net
TCP port 443 FROM <each_worker_node_publicIP> TO https://iam.cloud.ibm.com

Opcional: permita el tráfico de red saliente desde los nodos trabajadores a Monitoring y a los servicios de IBM Cloud Logs

IBM Cloud Monitoring:
- TCP port 443, port 6443 FROM <each_worker_node_public_IP> TO <monitoring_public_IP>
- Sustituya <monitoring_public_IP> por las direcciones IP de Monitoring.
IBM Cloud Logs:
- TCP port 443, port 80 FROM <each_worker_node_public_IP> TO <logging_public_IP>
- Sustituya <logging_public_IP> por las direcciones IP de IBM Cloud Logs.

Opcional: Permita el tráfico de red entrante y saliente para el complemento de Istio gestionado

Permita el tráfico de red saliente desde el equilibrador de carga de istio-egressgateway a través de los puertos siguientes: TCP port 80, port 15443 FROM <each_worker_node_publicIP>
Permita el tráfico de red entrante al plano de control de istiod y al equilibrador de carga de istio-ingressgateway a través de los puertos siguientes: TCP port 443, port 853, port 15010, port 15012, port 15014 FROM <each_worker_node_publicIP>

Próximos pasos

Si utiliza los servicios de equilibrador de carga, asegúrese de que todo el tráfico que utiliza el protocolo VRRP está permitido entre nodos de trabajador en las interfaces públicas y privadas. IBM Cloud Kubernetes Service utiliza el protocolo VRRP para gestionar las direcciones IP para los equilibradores de carga públicos y privados.

Abrir los puertos necesarios en una allowlist privada

Si tiene una allowlist en la red privada de su cuenta de infraestructura IBM Cloud, como Virtual Router Appliance (Vyatta), debe abrir rangos de IP, puertos y protocolos en su allowlist para permitir que los nodos trabajadores se comuniquen con el maestro, entre sí, con los recursos de infraestructura y con otros servicios de IBM Cloud.

Antes de empezar

Permita los rangos de IP privados de la infraestructura de IBM Cloud para poder crear nodos trabajadores en el clúster.
1. Permita los rangos de IP privados adecuados de la infraestructura de IBM Cloud. Consulte Red (privada) de fondo.
2. Permita los rangos de IP privada de la infraestructura de IBM Cloud para todas los zonas que está utilizando. Nota: Debe añadir los rangos de IP 166.8.0.0/14 y 161.26.0.0/16, los rangos de IP para las zonas dal10 y wdc04. Consulte Red de servicio (en red de fondo/privada).
Anote la dirección IP privada de cada nodo trabajador del clúster.
```
ibmcloud ks worker ls --cluster <cluster_name_or_ID>
```

Permita que los nodos trabajadores se comuniquen con el maestro del clúster

Para permitir que los nodos de trabajador se comuniquen con el maestro de clúster a través del punto final de servicio de nube privada, permita el tráfico de red saliente desde el <each_worker_node_privateIP> de origen al rango de puertos TCP/UDP de destino 30000-32767 y el puerto 443, y las siguientes direcciones IP y grupos de red.

Esta tabla se está moviendo. Para obtener las últimas listas de IP y actualizaciones continuas, consulte la carpeta de aislamiento de red privada en el IBM/kube-samples repositorio de . Puedes ver pull requests en el repositorio para actualizaciones.

TCP/UDP port range 30000-32767, port 443 FROM <each_worker_node_privateIP> TO <private_IPs>
Sustituya <private_IPs> por las direcciones IP privadas de la región en la que se encuentra el clúster.

Direcciones IP para abrir para el tráfico saliente
Región	Dirección IP privada
AP Norte (`che01`, `sng01`, `tok02`, `tok04`, `tok05`)	`166.9.40.102`, `166.9.40.21`, `166.9.40.36`, `166.9.40.39`, `166.9.40.6`, `166.9.40.7`, `166.9.40.8`, `166.9.40.88`, `166.9.42.23`, `166.9.42.28`, `166.9.42.55`, `166.9.42.6`, `166.9.42.7`, `166.9.42.97`, `166.9.44.15`, `166.9.44.3`, `166.9.44.4`, `166.9.44.47`, `166.9.44.5`, `166.9.44.88`, `166.9.46.4`, `166.9.60.2`, `166.9.60.4`, `166.9.249.106`, `166.9.249.136`, `166.9.249.170`
AP sur (`syd01`, `syd04`, `syd05`)	`166.9.52.14`, `166.9.52.15`, `166.9.52.23`, `166.9.52.30`, `166.9.52.31`, `166.9.54.11`, `166.9.54.12`, `166.9.54.13`, `166.9.54.21`, `166.9.54.32`, `166.9.54.33`, `166.9.56.10`, `166.9.56.11`, `166.9.56.16`, `166.9.56.24`, `166.9.56.36`, `166.9.244.107`, `166.9.244.137`, `166.9.244.171`
UE central (`ams03`, `mil01`, `par01`, `fra02`, `fra04`, `fra05`)	`166.9.28.107`, `166.9.28.17`, `166.9.28.19`, `166.9.28.20`, `166.9.28.203`, `166.9.28.22`, `166.9.28.23`, `166.9.28.235`, `166.9.28.24`, `166.9.28.240`, `166.9.28.43`, `166.9.28.64`, `166.9.28.84`, `166.9.28.87`, `166.9.28.91`, `166.9.28.94`, `166.9.28.95`, `166.9.30.100`, `166.9.30.11`, `166.9.30.116`, `166.9.30.12`, `166.9.30.13`, `166.9.30.22`, `166.9.30.41`, `166.9.30.54`, `166.9.30.56`, `166.9.30.9`, `166.9.30.92`, `166.9.32.101`, `166.9.32.185`, `166.9.32.20`, `166.9.32.26`, `166.9.32.27`, `166.9.32.44`, `166.9.32.54`, `166.9.32.56`, `166.9.32.84`, `166.9.32.88`, `166.9.32.9`, `166.9.248.77`, `166.9.248.106`, `166.9.248.137`
Madrid (`mad02`, `mad04`, `mad05`)	`166.9.94.6`, `166.9.95.6`, `166.9.96.6`, `166.9.94.7`, `166.9.95.7`, `166.9.96.7`
Osaka (`osa21`, `osa22`,`osa23`)	`166.9.70.6`, `166.9.70.8`, `166.9.71.8`, `166.9.71.10`, `166.9.72.9`, `166.9.72.10`, `166.9.247.41`, `166.9.247.75`, `166.9.247.107`
Reino Unido sur (`lon02`,`lon04`, `lon05`, `lon06`)	`166.9.34.17`, `166.9.34.41`, `166.9.34.45`, `166.9.34.5`, `166.9.34.50`, `166.9.34.6`, `166.9.34.77`, `166.9.36.10`, `166.9.36.11`, `166.9.36.12`, `166.9.36.13`, `166.9.36.23`, `166.9.36.30`, `166.9.36.53`, `166.9.36.65`, `166.9.36.95`, `166.9.38.18`, `166.9.38.28`, `166.9.38.46`, `166.9.38.54`, `166.9.38.6`, `166.9.38.7`, `166.9.38.75`, `166.9.244.12`, `166.9.244.48`, `166.9.244.75`
EE. UU. Este (`mon01`, `tor01`, `wdc04`, `wdc06`, `wdc07`)	`166.9.20.11`, `166.9.20.117`, `166.9.20.12`, `166.9.20.13`, `166.9.20.187`, `166.9.20.38`, `166.9.20.42`, `166.9.20.63`, `166.9.20.80`, `166.9.22.10`, `166.9.22.109`, `166.9.22.211`, `166.9.22.215`, `166.9.22.26`, `166.9.22.43`, `166.9.22.51`, `166.9.22.52`, `166.9.22.8`, `166.9.22.9`, `166.9.24.19`, `166.9.24.196`, `166.9.24.198`, `166.9.24.22`, `166.9.24.35`, `166.9.24.4`, `166.9.24.45`, `166.9.24.47`, `166.9.24.5`, `166.9.24.90`, `166.9.68.130`, `166.9.68.134`, `166.9.68.34`, `166.9.68.47`, `166.9.231.217`, `166.9.232.15`, `166.9.251.118`
EE. UU. sur (`sao01`, `sjc03`, `sjc04`, `dal10`, `dal12`, `dal13`)	`166.9.12.140`, `166.9.12.141`, `166.9.12.142`, `166.9.12.143`, `166.9.12.144`, `166.9.12.151`, `166.9.12.193`, `166.9.12.196`, `166.9.12.26`, `166.9.12.99`, `166.9.13.31`, `166.9.13.93`, `166.9.13.94`, `166.9.14.122`, `166.9.14.125`, `166.9.14.202`, `166.9.14.204`, `166.9.14.205`, `166.9.14.95`, `166.9.15.130`, `166.9.15.69`, `166.9.15.70`, `166.9.15.71`, `166.9.15.72`, `166.9.15.73`, `166.9.15.74`, `166.9.15.75`, `166.9.15.76`, `166.9.16.113`, `166.9.16.137`, `166.9.16.149`, `166.9.16.183`, `166.9.16.184`, `166.9.16.185`, `166.9.16.38`, `166.9.16.39`, `166.9.16.5`, `166.9.17.2`, `166.9.17.35`, `166.9.17.37`, `166.9.17.39`, `166.9.48.124`, `166.9.48.171`, `166.9.48.175`, `166.9.48.240`, `166.9.48.35`, `166.9.48.50`, `166.9.48.76`, `166.9.51.104`, `166.9.51.106`, `166.9.51.16`, `166.9.51.54`, `166.9.51.74`, `166.9.58.104`, `166.9.58.11`, `166.9.58.16`, `166.9.58.170`, `166.9.58.210`, `166.9.58.64`, `166.9.58.65`, `166.9.59.125`, `166.9.59.147`, `166.9.61.15`, `166.9.61.54`, `166.9.85.114`, `166.9.88.186`, `166.9.88.196`, `166.9.88.21`, `166.9.228.8`, `166.9.229.10`, `166.9.230.9`

Abra los puertos

Abra los puertos siguientes en la lista de elementos permitidos para que los nodos trabajadores funcionen correctamente. Los puertos siguientes deben estar abiertos en todas las IP de destino.

Permita las conexiones TCP y UDP de salida de los nodos trabajadores a los puertos 80 y 443 para permitir actualizaciones y recargas de nodos trabajadores.
Permita TCP y UDP de salida al puerto 2049 para permitir montar el almacenamiento de archivos como volúmenes.
Permita TCP de salida y UDP al puerto 3260 para la comunicación con el almacenamiento en bloque.
Permita las conexiones TCP y UDP de entrada al puerto 10250 para el panel de control de Kubernetes y los mandatos como kubectl logs y kubectl exec.
Permita las conexiones de entrada y salida al puerto 53 TCP y UDP para el acceso de DNS.

Habilite la comunicación trabajador-a-trabajador

Habilite la comunicación de trabajador a trabajador permitiendo todo el tráfico TCP, UDP, VRRP e IPEncap entre nodos de trabajador en las interfaces privadas y permita también VRRP en la interfaz pública. IBM Cloud Kubernetes Service utiliza el protocolo VRRP para gestionar las direcciones IP de los equilibradores de carga y el protocolo IPEncap para permitir el tráfico de pod a pod a través de subredes.

Permita que los nodos trabajadores se comuniquen con IBM Cloud Container Registry

Para permitir que los nodos de trabajador se comuniquen con IBM Cloud Container Registry, permita el tráfico de red saliente desde los nodos de trabajador a las regiones de IBM Cloud Container Registry.

TCP port 443 FROM <each_worker_node_privateIP> TO <registry_ip>
Sustituya <registry_ip> por la dirección IP de registro a la que desea permitir el tráfico. El registro global almacena imágenes públicas proporcionadas por IBM y los registros regionales almacenan sus propias imágenes privadas o públicas.

El 23 de junio de 2022, solo han cambiado las regiones br-sao y ca-tor. Las regiones restantes cambiaron el 5 de julio de 2022. Para obtener más información, consulte Container Registry direcciones IP privadas cambiadas el 5 de julio de 2022.

Direcciones IP para abrir para el tráfico de registro
Región de IBM Cloud Kubernetes Service	Dirección de registro	Registro de direcciones IP privadas hasta el 5 de julio de 2022	Registro de direcciones IP privadas después del 5 de julio de 2022
Registro global a través de regiones de IBM Cloud Kubernetes Service	`private.icr.io` `cp.icr.io`	166.9.20.31, 166.9.22.22, 166.9.24.16	166.9.251.49, 166.9.251.82, 166.9.251.113
AP norte	`private.jp.icr.io`	166.9.40.20, 166.9.42.21, 166.9.44.12	166.9.249.104, 166.9.249.157, 166.9.249.168
AP sur	`private.au.icr.io`	166.9.52.20, 166.9.54.19, 166.9.56.13	166.9.244.106, 166.9.244.136, 166.9.244.170
UE central	`private.de.icr.io`	166.9.28.35, 166.9.30.2, 166.9.32.2	166.9.248.76, 166.9.248.105, 166.9.248.136
Madrid	`private.es.icr.io`	N/D	166.9.248.76, 166.9.248.105, 166.9.248.136
Osaka	`private.jp2.icr.io`	166.9.70.4, 166.9.71.5, 166.9.72.6	166.9.247.39, 166.9.247.73, 166.9.247.105
Sao Paulo	`private.br.icr.io`	166.9.82.13, 166.9.83.13, 166.9.84.13	166.9.246.72, 166.9.246.104, 166.9.246.130
Toronto	`private.ca.icr.io`	166.9.76.12, 166.9.77.11, 166.9.78.11	166.9.247.143, 166.9.247.170, 166.9.247.207
Reino Unido sur	`private.uk.icr.io`	166.9.36.19, 166.9.38.14, 166.9.34.12	166.9.244.9, 166.9.244.45, 166.9.244.73
EE. UU. este, EE. UU. sur	`private.us.icr.io`	166.9.12.227, 166.9.15.116, 166.9.16.244	166.9.250.214, 166.9.250.246, 166.9.251.21

Suprimir reclamaciones de volumen persistente

Para crear reclamaciones de volúmenes persistentes en un clúster en el que los nodos trabajadores solo se conectan a VLAN privadas, asegúrese de que el clúster se haya configurado con la versión de Kubernetes o las versiones del plugin de almacenamiento de IBM Cloud siguientes. Estas versiones permiten la comunicación de red privada entre el clúster y las instancias de almacenamiento persistente.

Visión general de las versiones del complemento de almacenamiento Kubernetes o IBM Cloud necesarias para los clústeres privados
Tipo de almacenamiento	Versión necesaria
Almacenamiento de archivos	Kubernetes versión `1.13.4_1512`, `1.12.6_1544`, `1.11.8_1550`, `1.10.13_1551` o posterior
Almacenamiento en bloques	Plugin IBM Cloud Block Storage versión 1.3.0 o posteriores
Almacenamiento de objetos	Plugin de IBM Cloud Object Storage versión o posterior, servicio IBM Cloud Object Storage configurado con autenticación HMAC

Si debe utilizar una versión de Kubernetes o una versión del complemento de almacenamiento IBM Cloud que no admita la comunicación de red a través de la red privada, o si desea utilizar IBM Cloud Object Storage sin autenticación HMAC, permita el acceso de salida a través de su lista de permisos a IBM Cloud infrastructure y IBM Cloud Identity and Access Management:

Permita todo el tráfico de red de salida en el puerto TCP 443.
Permita el acceso al rango de IP de la infraestructura de IBM Cloud correspondiente a la zona en la que se encuentra el clúster tanto para la red frontal (pública) como para la red de fondo (privada). Para buscar la zona del clúster, ejecute ibmcloud ks cluster ls.

Opcional: Configurar reglas allowlist para los servicios IBM Cloud Logs y IBM Cloud Monitoring

Para enviar datos de registro y métricas, configure reglas allowlist para sus servicios IBM Cloud Logs y IBM Cloud Monitoring.

Apertura de puertos en una lista de elementos permitidos públicos o privados para el tráfico de entrada

Puede permitir el acceso a servicios NodePort, de equilibrador de carga e Ingress.

Servicio NodePort: Abra el puerto que ha configurado al desplegar el servicio en las direcciones IP públicas o privadas para todos los nodos de trabajador hacia los que se permite el tráfico. Para encontrar el puerto, ejecute kubectl get svc. El puerto está en el rango 20000-32000.
Servicio equilibrador de carga: Abra el puerto que ha configurado cuando ha desplegado el servicio a la dirección IP pública o privada del servicio de equilibrador de carga.
Ingress: Abra el puerto 80 para HTTP y el puerto 443 para HTTPS a la dirección IP pública o privada del equilibrador de carga de aplicación de Ingress.
Ruta: Abra el puerto 80 para HTTP y el puerto 443 para HTTPS a la dirección IP pública del direccionador.

Cómo permitir que el clúster acceda a recursos a través de políticas de red de Calico

En lugar de configurar un dispositivo de lista de permisos de puerta de enlace, puede optar por utilizar las políticas de red de Calico para que actúen como una lista de permisos de clúster en la red pública o privada. Para obtener más información, consulte los temas siguientes.

Permitir el tráfico de su clúster en las listas permitidas de otros servicios o en las listas permitidas locales

Si desea acceder a servicios que se ejecutan dentro o fuera de IBM Cloud o en las instalaciones y que están protegidos por una lista de permisos, puede añadir las direcciones IP de sus nodos de trabajo en esa lista de permisos para permitir el tráfico de red saliente a su clúster. Por ejemplo, es posible que desee leer datos de una base de datos IBM Cloud protegida por una lista de permisos, o especificar las subredes de sus nodos de trabajo en una lista de permisos local para permitir el tráfico de red desde su clúster.

Inicie una sesión en la cuenta. If applicable, target the appropriate resource group. Establezca el contexto para el clúster.
Obtenga las subredes de nodos trabajadores o las direcciones IP de los nodos trabajadores.
- Subredes de nodos de trabajo: Si prevé cambiar con frecuencia el número de nodos trabajadores de su clúster, por ejemplo si activa el autoescalador de clústeres, es posible que no desee actualizar su lista de permisos para cada nuevo nodo trabajador. Puede, en su lugar, añadir las subredes de VLAN que utiliza el clúster. Tenga en cuenta que es posible que la subred de VLAN se comparta con nodos trabajadores de otros clústeres. Tenga en cuenta que las subredes públicas primarias que IBM Cloud Kubernetes Service aprovisiona para el clúster incluyen 14 direcciones IP disponibles, y los demás clústeres de la misma VLAN las pueden compartir. Si tiene más de 14 nodos trabajadores, se solicita otra subred de modo que las subredes que debe permitir pueden cambiar. Para reducir la frecuencia de cambios, cree agrupaciones de nodos trabajadores con tipos de nodos trabajadores con más recursos de CPU y memoria para que no tenga que añadir nodos trabajadores con tanta frecuencia.
  1. Obtenga una lista de los nodos trabajadores del clúster.
```
ibmcloud ks worker ls --cluster <cluster_name_or_ID>
```
  2. En la salida del paso anterior, anote todos los ID de red exclusivos (primeros tres octetos) de la IP pública para los nodos trabajadores del clúster. Si desea permitir el tráfico procedente de un clúster solo privado, anote en su lugar la IP privada. En la salida siguiente, los ID de red exclusivos son 169.xx.178 y 169.xx.210.
```
ID                                                  Public IP        Private IP     Machine Type        State    Status   Zone    Version   
kube-dal10-crb2f60e9735254ac8b20b9c1e38b649a5-w31   169.xx.178.101   10.xxx.xx.xxx   b3c.4x16.encrypted   normal   Ready    dal10   1.32   
kube-dal10-crb2f60e9735254ac8b20b9c1e38b649a5-w34   169.xx.178.102   10.xxx.xx.xxx   b3c.4x16.encrypted   normal   Ready    dal10   1.32  
kube-dal12-crb2f60e9735254ac8b20b9c1e38b649a5-w32   169.xx.210.101   10.xxx.xx.xxx   b3c.4x16.encrypted   normal   Ready    dal12   1.32   
kube-dal12-crb2f60e9735254ac8b20b9c1e38b649a5-w33   169.xx.210.102   10.xxx.xx.xxx   b3c.4x16.encrypted   normal   Ready    dal12   1.32  
```
  3. Obtenga una lista de las subredes VLAN para cada ID de red exclusivo.
```
ibmcloud sl subnet list | grep -e <networkID1> -e <networkID2>
```
    Salida de ejemplo
```
ID        identifier       type                 network_space   datacenter   vlan_id   IPs   hardware   virtual_servers
1234567   169.xx.210.xxx   ADDITIONAL_PRIMARY   PUBLIC          dal12        1122334   16    0          5   
7654321   169.xx.178.xxx   ADDITIONAL_PRIMARY   PUBLIC          dal10        4332211   16    0          6    
```
  4. Recupere la dirección de subred. En la salida, busque el número de IP. Luego eleve 2 a la n potencia, igual al número de IP. Por ejemplo, si el número de IP es 16, se eleva 2 a la 4 potencia (n), lo que es igual a 16. A continuación, obtenga el CIDR de la subred restando el valor de n de 32 bits. Por ejemplo, si n es igual a 4, el CIDR es 28 (resultado de la ecuación 32 - 4 = 28). Combine la máscara identifier con el valor de CIDR para obtener la dirección completa de la subred. En la salida anterior, las direcciones de subred son las siguientes:
    - 169.xx.210.xxx/28
    - 169.xx.178.xxx/28
- Direcciones IP de nodo de trabajador individual: si tiene un número reducido de nodos de trabajador que sólo ejecutan una aplicación y no necesitan escala, o si desea añadir sólo un nodo de trabajador, liste todos los nodos de trabajador del clúster y anote las direcciones IP públicas. Si los nodos trabajadores solo están conectados a una red privada y desea conectarse a servicios de IBM Cloud utilizando el punto final de servicio en la nube privado, anote en su lugar las direcciones IP privadas. Solo se añaden estos nodos trabajadores. Si elimina los nodos trabajadores o añade nodos trabajadores al clúster, debe actualizar su lista de permisos en consecuencia.
```
ibmcloud ks worker ls --cluster <cluster_name_or_ID>
```
Añada el CIDR de subred o las direcciones IP a la lista de permitidos de su servicio para el tráfico saliente o a su lista de permitidos local para el tráfico entrante.
Repita estos pasos para cada clúster cuyo tráfico desee permitir, tanto de entrada como de salida.

Actualización de las listas de permisos de IAM para Kubernetes Service zonas de red

De forma predeterminada, se pueden utilizar todas las direcciones IP para iniciar sesión en la consola de IBM Cloud y realizar acciones para gestionar el clúster, como crear, actualizar, suprimir o visualizar credenciales. En la consola de IBM Cloud Identity and Access Management (IAM), puede crear una lista de elementos permitidos especificando las direcciones IP que tienen acceso; todas las demás direcciones IP quedan restringidas.

En su lista de permisos, también debe configurar zonas de red en el plano de control IBM Cloud Kubernetes Service para la región en la que se encuentra su clúster, de modo que IBM Cloud Kubernetes Service pueda crear o acceder a componentes como los ALB de entrada

Antes de empezar, es necesario que siga estos pasos para cambiar la lista de elementos permitidos de IAM para el usuario cuyas credenciales se utilicen para los permisos de infraestructura de la región y el grupo de recursos del clúster. Si es el propietario de las credenciales, puede cambiar sus propios valores de la lista de elementos permitidos de IAM. Si no es el propietario de las credenciales, pero tiene asignada la función de acceso a la plataforma Editor o Administrador IBM Cloud IAM para el servicio Gestión de usuarios, puede actualizar las redes para el propietario de las credenciales.

Identifique las credenciales de usuario que se utilizan para los permisos de la infraestructura de grupo de recursos y de la región del clúster.
1. Compruebe la clave de API para una región y un grupo de recursos del clúster.
```
ibmcloud ks api-key info --cluster <cluster_name_or_ID>
```
  Salida de ejemplo
```
Getting information about the API key owner for cluster <cluster_name>...
OK
Name                Email   
<user_name>         <name@email.com>
```
2. Compruebe si la cuenta de la infraestructura para la región y el grupo de recursos se ha establecido manualmente de modo que utilice otra cuenta de infraestructura de IBM Cloud.
```
ibmcloud ks credential get --region <us-south>
```
  Salida de ejemplo si las credenciales se han establecido de modo que utilicen otra cuenta. En este caso, las credenciales de infraestructura del usuario se utilizan para la región y el grupo de recursos que ha seleccionado como destino, incluso si las credenciales de un usuario diferente se almacenan en la clave de API que ha recuperado en el paso anterior.
```
OK
Infrastructure credentials for user name <1234567_name@email.com> set for resource group <resource_group_name>.
```
  Salida de ejemplo si las credenciales no se han establecido de modo que utilicen otra cuenta. En este caso, el propietario de la clave de API que ha recuperado en el paso anterior tiene las credenciales de infraestructura que se utilizan para la región y el grupo de recursos.
```
FAILED
No credentials set for resource group <resource_group_name>.: The user credentials could not be found. (E0051)
```
Acceda a la consola IBM Cloud.
Cree zonas de red que incluyan las IP de Kubernetes Service para todas las regiones o sólo para las regiones en las que tiene clústeres.
1. En la cuenta en la que se encuentra el clúster, desde la barra de menús, haz clic en Gestionar > Restricciones basadas en el contexto.
2. Haga clic en Zonas de red > Crear.
3. En Nombre, introduzca un nombre descriptivo para la zona de red, como us-south-kubernetes-service-network-zone.
4. No introduzca ningún valor para las secciones Direcciones IP permitidas y VPC permitidas.
5. En la sección Referenciar un servicio, seleccione Kubernetes Service y haga clic en +.
6. Para Localizaciones, puede dejar el campo vacío para que se utilicen todas las ubicaciones, lo que se aplica a los clústeres de otras regiones, o puede especificar una única región.
7. Haga clic en Siguiente y revise las selecciones.
8. Pulse Crear.
9. Repita el procedimiento para las zonas adicionales.
Añada los nombres de las zonas de red a su lista de permisos de IAM.
1. En la barra de menús, haga clic en Gestionar > Acceso (IAM) y seleccione Configuración.
2. En Restringir el acceso a direcciones IP, seleccione Activar e indique el nombre de la zona de red del paso anterior.
3. Haga clic en Aplicar.

Obtención de las direcciones IP de subred de Kubernetes Service

Siga los pasos para obtener las direcciones IP de subred correctas para añadirlas a la lista de elementos permitidos de IAM.

Obtención de las direcciones IP de subred en la consola

En la lista de recursos de la consola de administración de IBM Cloud, haga clic en su clúster.
Haga clic en Nodos de trabajo.
Anote cada VLAN pública utilizada por los nodos trabajadores del clúster. Varios nodos trabajadores pueden utilizar la misma VLAN pública.
En el menú de la consola IBM Cloud , haga clic en Infraestructura > Infraestructura clásica > Gestión de IP > VLAN.
Haga clic en cada VLAN pública para comprobar si la utilizan los nodos de trabajo de su clúster.
Para cada VLAN pública utilizada por los nodos trabajadores del clúster, busque la sección Subnets y anote cada dirección IP incluida en la tabla. Estas son las direcciones IP que debe incluir en la lista de elementos permitidos.

Obtención de las direcciones IP de subred en la CLI

Liste las VLAN públicas que utilizan los nodos trabajadores. La salida se formatea como publicVLAN=<vlan_id>.
```
kubectl describe nodes | grep publicVLAN | sort | uniq
```

Para cada VLAN pública, busque las subredes públicas asociadas. En la salida, anote las direcciones IP de subred en la columna identifier.

ibmcloud sl subnet list | grep <vlan-id>

Salida de ejemplo de subredes asociadas con la VLAN pública con el ID 2761690.

ID        identifier        type                 network_space   datacenter   vlan_id   IPs   hardware   virtual_servers  
1962263   169.62.46.56      SECONDARY_ON_VLAN    PUBLIC          wdc07        2761690   8     0          0   
2008207   169.62.39.248     SECONDARY_ON_VLAN    PUBLIC          wdc07        2761690   8     0          0   
2342562   169.62.2.128      ADDITIONAL_PRIMARY   PUBLIC          wdc07        2761690   16    0          5

Liste los nodos trabajadores y obtenga sus IP públicas. En la salida, las IP públicas se listan en la columna External-IP. Tenga en cuenta cuáles de estas direcciones IP están contenidas en las subredes que ha listado anteriormente y anote estos ID de subred.

Para cada ID de subred, ejecute el mandato para obtener los detalles de la subred. En cada salida, anote la dirección IP en la columna identifier. Esta es la dirección IP que debe añadir a la lista de elementos permitidos de IAM.

ibmcloud sl subnet detail <subnet_id>

Salida de ejemplo

Name             Value   
ID               2342562   
identifier       169.62.2.128/28   
subnet type      ADDITIONAL_PRIMARY   
network space    PUBLIC   
gateway          169.62.2.129   
broadcast        169.62.2.143   
datacenter       wdc07   
usable ips       13   
IP address       ID          IP address      
                186531376   169.62.2.128      
                186531378   169.62.2.129      
                186531380   169.62.2.130      
                186531382   169.62.2.131      
                186531384   169.62.2.132      
                186531386   169.62.2.133      
                186531388   169.62.2.134      
                186531390   169.62.2.135      
                186531392   169.62.2.136      
                186531394   169.62.2.137      
                186531396   169.62.2.138      
                186531398   169.62.2.139      
                186531400   169.62.2.140      
                186531402   169.62.2.141      
                186531404   169.62.2.142      
                186531406   169.62.2.143      

virtual guests   hostname                                                 domain    public_ip      private_ip      
                kube-c8ofi5pw077drsbovf90-roks47class-default-00000187   iks.ibm   169.62.2.130   10.191.55.109      
                kube-c8ofi5pw077drsbovf90-roks47class-default-000002a2   iks.ibm   169.62.2.133   10.191.55.108      
                kube-c8ofi5pw077drsbovf90-roks47class-default-00000372   iks.ibm   169.62.2.135   10.191.55.121      
                kube-c8ofh6kw0jj8l6jovf8g-iks22classi-default-00000219   iks.ibm   169.62.2.132   10.191.55.105      
                kube-c8ofh6kw0jj8l6jovf8g-iks22classi-default-0000012f   iks.ibm   169.62.2.134   10.191.55.107

Abrir los puertos y direcciones IP necesarios en su lista de permitidos

Abrir puertos en una lista de permisos corporativa

Ejecución de los comandos ibmcloud, ibmcloud ks, y ibmcloud cr desde detrás de una allowlist

Ejecución de mandatos kubectl desde detrás de una lista de elementos permitidos

Ejecución de mandatos calicoctl desde detrás de una lista de elementos permitidos

Apertura de puertos en las listas de permisos de los dispositivos de puerta de enlace

Abrir los puertos necesarios en una lista pública

Permita que los nodos trabajadores se comuniquen con el maestro del clúster

Permita que los nodos trabajadores se comuniquen con IBM Cloud Container Registry

Permita el tráfico de red saliente desde el nodo trabajador a IAM

Opcional: permita el tráfico de red saliente desde los nodos trabajadores a Monitoring y a los servicios de IBM Cloud Logs

Opcional: Permita el tráfico de red entrante y saliente para el complemento de Istio gestionado

Próximos pasos

Abrir los puertos necesarios en una allowlist privada

Permita que los nodos trabajadores se comuniquen con el maestro del clúster

Abra los puertos

Habilite la comunicación trabajador-a-trabajador

Permita que los nodos trabajadores se comuniquen con IBM Cloud Container Registry

Suprimir reclamaciones de volumen persistente

Opcional: Configurar reglas allowlist para los servicios IBM Cloud Logs y IBM Cloud Monitoring

Apertura de puertos en una lista de elementos permitidos públicos o privados para el tráfico de entrada

Cómo permitir que el clúster acceda a recursos a través de políticas de red de Calico

Permitir el tráfico de su clúster en las listas permitidas de otros servicios o en las listas permitidas locales

Actualización de las listas de permisos de IAM para Kubernetes Service zonas de red

Obtención de las direcciones IP de subred de Kubernetes Service

Obtención de las direcciones IP de subred en la consola

Obtención de las direcciones IP de subred en la CLI

Ejecución de los comandos `ibmcloud`, `ibmcloud ks`, y `ibmcloud cr` desde detrás de una allowlist

Ejecución de mandatos `kubectl` desde detrás de una lista de elementos permitidos

Ejecución de mandatos `calicoctl` desde detrás de una lista de elementos permitidos