Abertura de portas e endereços IP necessários em sua lista de permissões

Classic clusters

Essas informações da lista de permissões são específicas para clusters clássicos. Para clusters de VPC, consulte Abertura de portas e endereços IP necessários em sua lista de permissões para clusters de VPC.

Analise essas situações em que talvez seja necessário abrir portas e endereços IP específicos em suas listas de permissões para os clusters IBM Cloud® Kubernetes Service.

Listas de permissão corporativas: Se as políticas de rede corporativa impedirem o acesso de seu sistema local a pontos de extremidade públicos por meio de proxies ou listas de permissão, você deverá permitir o acesso para executar os comandos ibmcloud, ibmcloud ks, ibmcloud cr, kubectl e calicoctl a partir de seu sistema local.
Listas de permissões do dispositivo de gateway: Se você tiver listas de permissões configuradas na rede pública ou privada em sua conta de infraestrutura IBM Cloud, como um VRA, deverá abrir intervalos de IP, portas e protocolos para permitir que os nós de trabalho se comuniquem com o mestre, com os recursos de infraestrutura e com outros serviços IBM Cloud. Também é possível abrir portas para permitir o tráfego de entrada para serviços que estão expondo apps em seu cluster.
Calico políticas de rede: Se você usar as políticas de rede do Calico para atuar como uma lista de permissões para restringir a saída de todos os nós de trabalho, deverá permitir que os nós de trabalho acessem os recursos necessários para o funcionamento do cluster.
Outros serviços ou listas de permissões de rede: Para permitir que o cluster acesse serviços executados dentro ou fora do site IBM Cloud ou em redes locais e que estejam protegidos por uma lista de permissões, é necessário adicionar os endereços IP dos nós de trabalho a essa lista de permissões.

Abertura de portas em uma lista de permissões corporativa

Se as políticas de rede corporativa impedirem o acesso de seu sistema local a pontos de extremidade públicos por meio de proxies ou listas de permissões, você deverá permitir o acesso para executar os comandos ibmcloud, ibmcloud ks e ibmcloud cr, kubectl e calicoctl a partir de seu sistema local.

Execução dos comandos `ibmcloud`, `ibmcloud ks` e `ibmcloud cr` por trás de uma lista de permissões

Se as políticas de rede corporativa impedirem o acesso de seu sistema local a pontos de extremidade públicos por meio de proxies ou listas de permissão, para executar os comandos ibmcloud, ibmcloud ks e ibmcloud cr, você deverá permitir o acesso TCP para IBM Cloud, IBM Cloud Kubernetes Service e IBM Cloud Container Registry.

Permita o acesso a cloud.ibm.com na porta 443 em sua lista de permissões.
Verifique sua conexão efetuando login no IBM Cloud por meio desse terminal de API.
```
ibmcloud login -a https://cloud.ibm.com/
```
Permita o acesso a containers.cloud.ibm.com na porta 443 em sua lista de permissões.

Verifique sua conexão. Se o acesso estiver configurado corretamente, as zonas serão exibidas na saída.

curl https://containers.cloud.ibm.com/v1/zones

Exemplo de saída

[{"id":"mon01","metro":""},{"id":"tor01","metro":""},{"id":"wdc04","metro":"Washington D.C."},{"id":"wdc06","metro":"Washington D.C."},{"id":"wdc07","metro":"Washington D.C."}]

Permita o acesso às regiões IBM Cloud Container Registry que você planeja usar na porta 443 em sua lista de permissões. O registro global armazena imagens públicas fornecidas pela IBM e os registros regionais armazenam suas próprias imagens privadas ou públicas.
Verifique sua conexão listando seus namespaces de registro de contêiner.

Executando `kubectl` comandos de trás de um allowlist

Se as políticas de rede corporativa impedirem o acesso do seu sistema local a pontos de extremidade públicos por meio de proxies ou listas de permissão, para executar comandos kubectl, você deverá permitir o acesso TCP ao cluster.

Quando um cluster é criado, a porta nas URLs de terminais em serviço é designada aleatoriamente a partir de 30000-32767. É possível optar por abrir o intervalo de portas 30000-32767 para qualquer cluster que possa ser criado ou permitir acesso para um cluster específico existente.

Antes de iniciar, permita acesso para executar comandos ibmcloud ks.

Para permitir acesso para um cluster específico:

Efetue login na CLI do IBM Cloud . Insira suas credenciais do IBM Cloud quando solicitadas. Se você tiver uma conta federada, inclua a opção --sso.
```
ibmcloud login [--sso]
```
Se o cluster estiver em um grupo de recursos diferente de default, destine esse grupo de recursos. Para ver o grupo de recursos ao qual cada cluster pertence, execute ibmcloud ks cluster ls. Nota: deve-se ter pelo menos a função Visualizador para o grupo de recursos.
```
ibmcloud target -g <resource_group_name>
```
Obtenha o nome do cluster.
```
ibmcloud ks cluster ls
```
Recupere as URLs do terminal em serviço para seu cluster.
- Se apenas a URL do terminal em serviço público estiver preenchida, obtenha essa URL. Seus usuários de cluster autorizados podem acessar o mestre por meio desse terminal na rede pública.
- Se apenas a URL do terminal em serviço privado estiver preenchida, obtenha essa URL. Seus usuários de cluster autorizados podem acessar o mestre por meio desse terminal na rede privada.
- Se a URL do terminal em serviço público e a URL do terminal em serviço privado estiverem preenchidas, obtenha as duas URLs. Os usuários de cluster autorizados podem acessar o mestre por meio do terminal público na rede pública ou no terminal privado na rede privada.
```
ibmcloud ks cluster get --cluster <cluster_name_or_ID>
```
Exemplo de saída
```
...
Public Service Endpoint URL:    https://c3.<region>.containers.cloud.ibm.com:30426
Private Service Endpoint URL:   https://c3-private.<region>.containers.cloud.ibm.com:31140
...
```
Permita acesso às URLs e portas de terminal em serviço que você recebeu na etapa anterior. Se a sua lista de permissões for baseada em IP, você poderá ver quais endereços IP são abertos quando você permite o acesso aos URLs do ponto de extremidade do serviço revisando essa tabela.

Verifique sua conexão.

Se o terminal em serviço de nuvem pública estiver ativado:

curl --insecure <public_service_endpoint_URL>/version

Exemplo de comando:

curl --insecure https://c3.<region>.containers.cloud.ibm.com:31142/version

Exemplo de saída

{
"major": "1",
"minor": "7+",
"gitVersion": "v1.7.4-2+eb9172c211dc41",
"gitCommit": "eb9172c211dc4108341c0fd5340ee5200f0ec534",
"gitTreeState": "clean",
"buildDate": "2017-11-16T08:13:08Z",
"goVersion": "go1.8.3",
"compiler": "gc",
"platform": "linux/amd64"
}

Se o terminal em serviço de nuvem privada estiver ativado, você deverá estar em sua rede privada da IBM Cloud ou se conectar à rede privada por meio de uma conexão VPN para verificar sua conexão com o principal. Nota: deve-se expor o terminal do mestre por meio de um balanceador de carga privado para que os usuários possam acessar o mestre por meio de uma VPN ou uma conexão IBM Cloud® Direct Link.
```
curl --insecure <private_service_endpoint_URL>/version
```
Exemplo de comando:
```
curl --insecure https://c3-private.<region>.containers.cloud.ibm.com:31142/version
```
Exemplo de saída
```
{
"major": "1",
"minor": "7+",
"gitVersion": "v1.7.4-2+eb9172c211dc41",
"gitCommit": "eb9172c211dc4108341c0fd5340ee5200f0ec534",
"gitTreeState": "clean",
"buildDate": "2017-11-16T08:13:08Z",
"goVersion": "go1.8.3",
"compiler": "gc",
"platform": "linux/amd64"
}
```

Opcional: repita essas etapas para cada cluster que você precisa expor.

Executando `calicoctl` comandos de trás de um allowlist

Se as políticas de rede corporativa impedirem o acesso do seu sistema local a pontos de extremidade públicos por meio de proxies ou listas de permissão, para executar os comandos calicoctl, você deverá permitir o acesso TCP para os comandos Calico.

Antes de iniciar, permita o acesso para executar comandos ibmcloud e comandos kubectl.

Recupere o endereço IP do mestre URL que você usou para permitir os comandos kubectl.

Obtenha a porta para etcd.

kubectl get cm -n kube-system cluster-info -o yaml | grep etcd_host

Permita acesso para as políticas do Calico por meio do endereço IP da URL do mestre e da porta etcd.

Abertura de portas nas listas de permissões do dispositivo de gateway

Se você tiver listas de permissões configuradas na rede pública ou na rede privada em sua conta de infraestrutura IBM Cloud, como Virtual Router Appliance (Vyatta), deverá abrir intervalos de IP, portas e protocolos para permitir que os nós de trabalho se comuniquem com o mestre, com os recursos da infraestrutura e com outros serviços IBM Cloud.

Abertura de portas necessárias em uma lista de permissões pública

Se você tiver uma lista de permissões na rede pública em sua conta de infraestrutura IBM Cloud, como Virtual Router Appliance (Vyatta), deverá abrir intervalos de IP, portas e protocolos na lista de permissões para permitir que os nós de trabalho se comuniquem com o mestre, com os recursos da infraestrutura e com outros serviços IBM Cloud.

Antes de começar, anote o endereço IP público para cada nó do trabalhador no cluster.

ibmcloud ks worker ls --cluster <cluster_name_or_ID>

Permitir que os nós do trabalhador se comuniquem com o cluster mestre

Para permitir que nós do trabalhador se comuniquem com o cluster mestre pelo terminal em serviço de nuvem pública, permita o tráfego de rede de saída da origem <each_worker_node_publicIP> para o intervalo de portas TCP/UDP de destino 30000-32767 e porta 443, bem como os endereços IP e grupos de rede a seguir.

Esta tabela está sendo movida. Para obter as listas de IPs mais recentes e atualizações contínuas, consulte a pasta de isolamento da rede pública no repositório IBM/kube-samples. É possível observar as solicitações de pull no repositório para atualizações.

TCP/UDP port range 30000-32767, port 443 FROM <each_worker_node_publicIP> TO <public_IPs>
Substitua <public_IPs> pelos endereços IP públicos da região em que o cluster está localizado.

Endereços IP a serem abertos para o tráfego de saída
Região	Endereço IP público
AP Norte (`che01`, `sng01`, `tok02`, `tok04`, `tok05`)	`119.81.194.90`, `119.81.222.210`, `128.168.106.194`, `128.168.71.117`, `128.168.75.194`, `128.168.85.154`, `135.90.69.66`, `135.90.69.82`, `161.202.126.210`, `161.202.154.10`, `161.202.186.226`, `161.202.56.10`, `161.202.57.34`, `165.192.69.69`, `165.192.80.146`, `165.192.83.202`, `165.192.95.90`, `169.38.68.178`, `169.38.70.10`, `169.38.79.170`, `169.56.1.162`, `169.56.132.234`, `169.56.48.114`, `169.56.69.242`, `169.56.96.42`, `104.94.220.124`, `104.94.221.124`, `104.94.222.132`, `104.94.223.132`, `104.96.176.124`, `104.96.177.124`, `104.96.178.126`, `104.96.179.126`, `104.96.180.123`, `104.96.181.123`
Sul da AP (`syd01`, `syd04`, `syd05`)	`130.198.64.19`, `130.198.66.26`, `130.198.79.170`, `130.198.83.34`, `130.198.102.82`, `135.90.66.2`, `135.90.68.114`, `135.90.69.66`, `135.90.69.82`, `135.90.89.234`, `168.1.6.106`, `168.1.8.195`, `168.1.12.98`, `168.1.39.34`, `168.1.58.66`, `104.94.220.125`, `104.94.221.125`, `104.94.222.133`, `104.94.223.133`, `104.96.176.125`, `104.96.177.125`, `104.96.178.127`, `104.96.179.127`, `104.96.180.124`, `104.96.181.124`
Central da UE (`ams03`, `mil01`, `par01`, `fra02`, `fra04`, `fra05`)	`149.81.103.98`, `149.81.104.122`, `149.81.113.154`, `149.81.123.18`, `149.81.142.90`, `149.81.180.114`, `149.81.180.122`, `149.81.68.2`, `149.81.78.114`, `158.177.102.162`, `158.177.107.50`, `158.177.112.146`, `158.177.138.138`, `158.177.151.2`, `158.177.156.178`, `158.177.198.138`, `158.177.79.34`, `159.122.141.69`, `159.122.150.2`, `159.8.79.250`, `159.8.86.149`, `159.8.95.34`, `161.156.115.138`, `161.156.120.74`, `161.156.12.82`, `161.156.183.218`, `161.156.187.226`, `161.156.65.42`, `161.156.65.82`, `161.156.74.10`, `161.156.79.26`, `169.50.146.82`, `169.50.169.110`, `169.50.184.18`, `169.50.56.174`, `169.51.197.18`, `104.94.220.127`, `104.94.221.127`, `104.94.222.135`, `104.94.223.135`, `104.96.176.127`, `104.96.177.127`, `104.96.178.129`, `104.96.179.129`, `104.96.180.126`, `104.96.181.126`
Madri (`mad02`, `mad04`, `mad05`)	`13.120.65.98`, `13.120.127.250`, `13.121.64.178`, `13.121.64.186`, `13.122.65.10`, `13.122.65.34`, `2.18.48.89`, `2.18.49.89`, `2.18.50.89`, `2.18.51.89`, `2.18.52.89`, `2.18.53.89`, `2.18.54.89`, `2.18.55.89`, `23.40.100.89`, `23.7.244.89`
Osaka (`osa21`, `osa22`,`osa23`)	`163.68.69.114`, `163.68.69.122`, `163.69.65.114`, `163.69.65.122`, `163.73.64.250`, `163.73.65.194`, `104.94.220.131`, `104.94.221.131`, `104.94.222.139`, `104.94.223.139`, `104.96.176.131`, `104.96.177.131`, `104.96.178.133`, `104.96.179.133`, `104.96.180.130`, `104.96.181.130`
São Paulo (`sao01`, `sao04`, `sao05`)	`163.107.65.194`, `163.107.65.202`, `163.109.65.154`, `163.109.65.242`, `169.57.159.130`, `169.57.254.50`, `104.94.220.129`, `104.94.221.129`, `104.94.222.137`, `104.94.223.137`, `104.96.176.129`, `104.96.177.129`, `104.96.178.131`, `104.96.179.131`, `104.96.180.128`, `104.96.181.128`
Toronto (`tor01`, `tor04`, `tor05`)	`158.85.77.114`, `158.85.110.18`, `163.74.65.242`, `163.74.65.250`, `163.75.64.122`, `163.75.64.162`, `104.94.220.132`, `104.94.221.132`, `104.94.222.140`, `104.94.223.140`, `104.96.176.132`, `104.96.177.132`, `104.96.178.134`, `104.96.179.134`, `104.96.180.131`, `104.96.181.131`
Sul do Reino Unido (`lon02`, `lon04`, `lon05`, `lon06`)	`141.125.102.106`, `141.125.66.26`, `141.125.67.34`, `141.125.77.58`, `141.125.91.138`, `158.175.111.42`, `158.175.125.194`, `158.175.139.130`, `158.175.150.122`, `158.175.65.170`, `158.175.77.178`, `158.175.82.50`, `158.176.123.130`, `158.176.135.242`, `158.176.142.26`, `158.176.149.154`, `158.176.71.242`, `158.176.94.26`, `158.176.95.146`, `159.122.224.242`, `159.122.242.78`, `104.94.220.126`, `104.94.221.126`, `104.94.222.134`, `104.94.223.134`, `104.96.176.126`, `104.96.177.126`, `104.96.178.128`, `104.96.179.128`, `104.96.180.125`, `104.96.181.125`
Leste dos EUA (`mon01`, `wdc04`, `wdc06`, `wdc07`)	`158.85.97.34`, `169.47.162.130`, `169.47.174.106`, `169.53.167.50`, `169.53.171.210`, `169.54.126.219`, `169.54.80.106`, `169.54.94.26`, `169.60.100.242`, `169.60.101.42`, `169.60.111.58`, `169.60.73.142`, `169.60.92.50`, `169.60.92.66`, `169.61.109.34`, `169.61.110.66`, `169.61.74.210`, `169.61.83.62`, `169.62.10.162`, `169.62.9.250`, `169.63.106.50`, `169.63.111.82`, `169.63.149.122`, `169.63.158.82`, `169.63.160.130`, `169.63.66.226`, `169.63.75.82`, `169.63.88.178`, `169.63.88.186`, `169.63.94.210`, `52.117.72.42`, `52.117.88.42`, `104.94.220.128`, `104.94.221.128`, `104.94.222.136`, `104.94.223.136`, `104.96.176.128`, `104.96.177.128`, `104.96.178.130`, `104.96.179.130`, `104.96.180.127`, `104.96.181.127`
Sul dos EUA (`sjc03`, `sjc04`, `dal10`, `dal12`, `dal13`)	`50.22.129.34`, `52.116.231.210`, `52.116.254.234`, `52.116.54.122`, `52.117.197.210`, `52.117.212.34`, `52.117.215.162`, `52.117.232.194`, `52.117.240.106`, `52.117.28.138`, `67.228.97.210`, `169.45.126.154`, `169.45.67.210`, `169.45.88.98`, `169.46.110.218`, `169.46.111.122`, `169.46.16.202`, `169.46.24.210`, `169.46.27.234`, `169.46.63.250`, `169.46.68.234`, `169.46.7.238`, `169.46.89.50`, `169.47.109.34`, `169.47.115.18`, `169.47.201.194`, `169.47.209.66`, `169.47.229.90`, `169.47.232.210`, `169.47.239.34`, `169.47.242.242`, `169.47.70.10`, `169.47.71.138`, `169.48.110.250`, `169.48.143.218`, `169.48.161.242`, `169.48.226.2`, `169.48.230.146`, `169.48.244.66`, `169.57.100.18`, `169.57.13.10`, `169.57.147.58`, `169.57.151.10`, `169.57.154.98`, `169.59.219.90`, `169.59.223.194`, `169.59.230.98`, `169.60.128.2`, `169.60.170.234`, `169.61.175.106`, `169.61.177.2`, `169.61.187.58`, `169.61.228.138`, `169.61.28.66`, `169.61.29.194`, `169.61.60.130`, `169.62.166.98`, `169.62.189.26`, `169.62.206.234`, `169.62.230.114`, `169.62.82.197`, `169.62.87.170`, `169.62.97.218`, `169.63.39.66`, `169.63.47.250`, `104.94.220.130`, `104.94.221.130`, `104.94.222.138`, `104.94.223.138`, `104.96.176.130`, `104.96.177.130`, `104.96.178.132`, `104.96.179.132`, `104.96.180.129`, `104.96.181.129`

Permita que os nós dos trabalhadores se comuniquem com o IBM Cloud Container Registry

Permitir o tráfego de rede de saída de seus nós de trabalho para IBM Cloud Container Registry. Para obter mais informações, consulte Acessando IBM Cloud Container Registry por meio de um firewall.

Permita o tráfego de rede de saída do nó do trabalhador para o IAM

Permita o tráfego de rede de saída de seu nó do trabalhador para IBM Cloud Identity and Access Management (IAM). Sua lista de permissões deve ser da Camada 7 para permitir o nome de domínio do IAM. O IAM não possui endereços IP específicos que possam ser permitidos. Se a sua lista de permissões não for compatível com a Camada 7, você poderá permitir todo o tráfego de rede HTTPS na porta 443.

TCP port 443 FROM <each_worker_node_publicIP> TO https://iam.bluemix.net
TCP port 443 FROM <each_worker_node_publicIP> TO https://iam.cloud.ibm.com

Opcional: permita o tráfego de rede de saída dos nós do trabalhador para os serviços Monitoring e IBM Cloud Logs

IBM Cloud Monitoring:
- TCP port 443, port 6443 FROM <each_worker_node_public_IP> TO <monitoring_public_IP>
- Substitua <monitoring_public_IP> pelos endereços IP do Monitoring.
IBM Cloud Logs:
- TCP port 443, port 80 FROM <each_worker_node_public_IP> TO <logging_public_IP>
- Substitua <logging_public_IP> pelos endereços IP de IBM Cloud Logs.

Opcional: permitir o tráfego de rede de entrada e saída para o complemento Istio gerenciado

Permita o tráfego de rede de saída do balanceador de carga istio-egressgateway por meio das seguintes portas: TCP port 80, port 15443 FROM <each_worker_node_publicIP>
Permita o tráfego de rede de entrada para o plano de controle istiod e o balanceador de carga istio-ingressgateway por meio das seguintes portas: TCP port 443, port 853, port 15010, port 15012, port 15014 FROM <each_worker_node_publicIP>

Próximas etapas

Se você usar serviços de balanceador de carga, certifique-se de que todo o tráfego que utiliza o protocolo VRRP seja permitido entre nós do trabalhador nas interfaces pública e privada. O IBM Cloud Kubernetes Service usa o protocolo VRRP para gerenciar endereços IP para balanceadores de carga públicos e privados.

Abertura de portas necessárias em uma lista de permissões privada

Se você tiver uma lista de permissões na rede privada em sua conta de infraestrutura IBM Cloud, como Virtual Router Appliance (Vyatta), deverá abrir intervalos de IP, portas e protocolos na lista de permissões para permitir que os nós de trabalho se comuniquem com o mestre, entre si, com os recursos da infraestrutura e com outros serviços IBM Cloud.

Antes de Iniciar

Permita os intervalos de IP privados da infraestrutura da IBM Cloud possam criar nós do trabalhador em seu cluster.
1. Permita os intervalos IP privados de infraestrutura da IBM Cloud apropriados. Consulte Rede de backend (privada) .
2. Permita os intervalos IP privados da infraestrutura IBM Cloud para todas as zonas que você está usando. Observação: você deve adicionar os intervalos de IP 166.8.0.0/14 e 161.26.0.0/16, os intervalos de IP para as zonas dal10 e wdc04. Consulte Rede de Serviço (na rede backend / privada) .
Anote o endereço IP privado para cada nó do trabalhador no cluster.
```
ibmcloud ks worker ls --cluster <cluster_name_or_ID>
```

Permitir que os nós do trabalhador se comuniquem com o cluster mestre

Para permitir que nós do trabalhador se comuniquem com o cluster mestre pelo terminal em serviço de nuvem privada, permita o tráfego de rede de saída da origem <each_worker_node_privateIP> para o intervalo de portas TCP/UDP de destino 30000-32767 e porta 443, bem como os endereços IP e grupos de rede a seguir.

Esta tabela está sendo movida. Para obter as listas de IPs mais recentes e atualizações contínuas, consulte a pasta de isolamento da rede privada no repositório IBM/kube-samples. É possível observar as solicitações de pull no repositório para atualizações.

TCP/UDP port range 30000-32767, port 443 FROM <each_worker_node_privateIP> TO <private_IPs>
Substitua <private_IPs> pelos endereços IP privados da região em que o cluster está localizado.

Endereços IP a serem abertos para o tráfego de saída
Região	Endereço IP privado
AP Norte (`che01`, `sng01`, `tok02`, `tok04`, `tok05`)	`166.9.40.102`, `166.9.40.21`, `166.9.40.36`, `166.9.40.39`, `166.9.40.6`, `166.9.40.7`, `166.9.40.8`, `166.9.40.88`, `166.9.42.23`, `166.9.42.28`, `166.9.42.55`, `166.9.42.6`, `166.9.42.7`, `166.9.42.97`, `166.9.44.15`, `166.9.44.3`, `166.9.44.4`, `166.9.44.47`, `166.9.44.5`, `166.9.44.88`, `166.9.46.4`, `166.9.60.2`, `166.9.60.4`, `166.9.249.106`, `166.9.249.136`, `166.9.249.170`
Sul da AP (`syd01`, `syd04`, `syd05`)	`166.9.52.14`, `166.9.52.15`, `166.9.52.23`, `166.9.52.30`, `166.9.52.31`, `166.9.54.11`, `166.9.54.12`, `166.9.54.13`, `166.9.54.21`, `166.9.54.32`, `166.9.54.33`, `166.9.56.10`, `166.9.56.11`, `166.9.56.16`, `166.9.56.24`, `166.9.56.36`, `166.9.244.107`, `166.9.244.137`, `166.9.244.171`
Central da UE (`ams03`, `mil01`, `par01`, `fra02`, `fra04`, `fra05`)	`166.9.28.107`, `166.9.28.17`, `166.9.28.19`, `166.9.28.20`, `166.9.28.203`, `166.9.28.22`, `166.9.28.23`, `166.9.28.235`, `166.9.28.24`, `166.9.28.240`, `166.9.28.43`, `166.9.28.64`, `166.9.28.84`, `166.9.28.87`, `166.9.28.91`, `166.9.28.94`, `166.9.28.95`, `166.9.30.100`, `166.9.30.11`, `166.9.30.116`, `166.9.30.12`, `166.9.30.13`, `166.9.30.22`, `166.9.30.41`, `166.9.30.54`, `166.9.30.56`, `166.9.30.9`, `166.9.30.92`, `166.9.32.101`, `166.9.32.185`, `166.9.32.20`, `166.9.32.26`, `166.9.32.27`, `166.9.32.44`, `166.9.32.54`, `166.9.32.56`, `166.9.32.84`, `166.9.32.88`, `166.9.32.9`, `166.9.248.77`, `166.9.248.106`, `166.9.248.137`
Madri (`mad02`, `mad04`, `mad05`)	`166.9.94.6`, `166.9.95.6`, `166.9.96.6`, `166.9.94.7`, `166.9.95.7`, `166.9.96.7`
Osaka (`osa21`, `osa22`,`osa23`)	`166.9.70.6`, `166.9.70.8`, `166.9.71.8`, `166.9.71.10`, `166.9.72.9`, `166.9.72.10`, `166.9.247.41`, `166.9.247.75`, `166.9.247.107`
Sul do Reino Unido (`lon02`,`lon04`, `lon05`, `lon06`)	`166.9.34.17`, `166.9.34.41`, `166.9.34.45`, `166.9.34.5`, `166.9.34.50`, `166.9.34.6`, `166.9.34.77`, `166.9.36.10`, `166.9.36.11`, `166.9.36.12`, `166.9.36.13`, `166.9.36.23`, `166.9.36.30`, `166.9.36.53`, `166.9.36.65`, `166.9.36.95`, `166.9.38.18`, `166.9.38.28`, `166.9.38.46`, `166.9.38.54`, `166.9.38.6`, `166.9.38.7`, `166.9.38.75`, `166.9.244.12`, `166.9.244.48`, `166.9.244.75`
Leste dos EUA (`mon01`, `tor01`, `wdc04`, `wdc06`, `wdc07`)	`166.9.20.11`, `166.9.20.117`, `166.9.20.12`, `166.9.20.13`, `166.9.20.187`, `166.9.20.38`, `166.9.20.42`, `166.9.20.63`, `166.9.20.80`, `166.9.22.10`, `166.9.22.109`, `166.9.22.211`, `166.9.22.215`, `166.9.22.26`, `166.9.22.43`, `166.9.22.51`, `166.9.22.52`, `166.9.22.8`, `166.9.22.9`, `166.9.24.19`, `166.9.24.196`, `166.9.24.198`, `166.9.24.22`, `166.9.24.35`, `166.9.24.4`, `166.9.24.45`, `166.9.24.47`, `166.9.24.5`, `166.9.24.90`, `166.9.68.130`, `166.9.68.134`, `166.9.68.34`, `166.9.68.47`, `166.9.231.217`, `166.9.232.15`, `166.9.251.118`
Sul dos EUA (`sao01`, `sjc03`, `sjc04`, `dal10`, `dal12`, `dal13`)	`166.9.12.140`, `166.9.12.141`, `166.9.12.142`, `166.9.12.143`, `166.9.12.144`, `166.9.12.151`, `166.9.12.193`, `166.9.12.196`, `166.9.12.26`, `166.9.12.99`, `166.9.13.31`, `166.9.13.93`, `166.9.13.94`, `166.9.14.122`, `166.9.14.125`, `166.9.14.202`, `166.9.14.204`, `166.9.14.205`, `166.9.14.95`, `166.9.15.130`, `166.9.15.69`, `166.9.15.70`, `166.9.15.71`, `166.9.15.72`, `166.9.15.73`, `166.9.15.74`, `166.9.15.75`, `166.9.15.76`, `166.9.16.113`, `166.9.16.137`, `166.9.16.149`, `166.9.16.183`, `166.9.16.184`, `166.9.16.185`, `166.9.16.38`, `166.9.16.39`, `166.9.16.5`, `166.9.17.2`, `166.9.17.35`, `166.9.17.37`, `166.9.17.39`, `166.9.48.124`, `166.9.48.171`, `166.9.48.175`, `166.9.48.240`, `166.9.48.35`, `166.9.48.50`, `166.9.48.76`, `166.9.51.104`, `166.9.51.106`, `166.9.51.16`, `166.9.51.54`, `166.9.51.74`, `166.9.58.104`, `166.9.58.11`, `166.9.58.16`, `166.9.58.170`, `166.9.58.210`, `166.9.58.64`, `166.9.58.65`, `166.9.59.125`, `166.9.59.147`, `166.9.61.15`, `166.9.61.54`, `166.9.85.114`, `166.9.88.186`, `166.9.88.196`, `166.9.88.21`, `166.9.228.8`, `166.9.229.10`, `166.9.230.9`

Portas Abertas

Abra as seguintes portas em sua lista de permissões para que os nós de trabalho funcionem corretamente. As portas a seguir precisam estar abertas para todos os IPs de destino.

Permita conexões TCP e UDP de saída dos trabalhadores para as portas 80 e 443 para permitir atualizações e recarregamentos do nó do trabalhador.
Permita TCP e UDP de saída para a porta 2049 para permitir o armazenamento de arquivo de montagem como volumes.
Permita TCP e UDP de saída para a porta 3260 para comunicação com o armazenamento de bloco.
Permita conexões TCP e UDP de entrada para a porta 10250 para o painel e comandos do Kubernetes, como kubectl logs e kubectl exec.
Permita conexões de entrada e de saída para a porta TCP e UDP 53 para acesso de DNS.

Ativar a comunicação de trabalhador para trabalhador

Ative a comunicação de trabalhador para trabalhador, permitindo todo o tráfego TCP, UDP, VRRP e IPEncap entre os nós do trabalhador nas interfaces privadas e permitindo também o VRRP na interface pública. O IBM Cloud Kubernetes Service usa o protocolo VRRP para gerenciar endereços IP para balanceadores de carga e o protocolo IPEncap para permitir o tráfego de pod para pod entre as sub-redes.

Permitir que os nós do trabalhador se comuniquem com o IBM Cloud Container Registry

Para permitir que os nós do trabalhador se comuniquem com o IBM Cloud Container Registry, permita o tráfego de rede de saída dos nós do trabalhador para as regiões do IBM Cloud Container Registry.

TCP port 443 FROM <each_worker_node_privateIP> TO <registry_ip>
Substitua <registry_ip> pelo endereço IP de registro para o qual você deseja permitir o tráfego. O registro global armazena imagens públicas fornecidas pela IBM e os registros regionais armazenam suas próprias imagens privadas ou públicas.

Em 23 de junho de 2022, somente as regiões br-sao e ca-tor mudaram. As demais regiões mudaram em 5 de julho de 2022. Para obter mais informações, consulte Endereços IP privados do Container Registry mudados em 5 de julho de 2022.

Endereços IP a serem abertos para o tráfego de Registro
Região do IBM Cloud Kubernetes Service	Endereço de registro	Endereços IP privados de registro até 5 de julho de 2022	Endereços IP privados de registro após 5 de julho de 2022
Registro global em IBM Cloud Kubernetes Service regiões	`private.icr.io` `cp.icr.io`	166.9.20.31, 166.9.22.22, 166.9.24.16	166.9.251.49, 166.9.251.82, 166.9.251.113
Norte da AP	`private.jp.icr.io`	166.9.40.20, 166.9.42.21, 166.9.44.12	166.9.249.104, 166.9.249.157, 166.9.249.168
Sul da AP	`private.au.icr.io`	166.9.52.20, 166.9.54.19, 166.9.56.13	166.9.244.106, 166.9.244.136, 166.9.244.170
União Europeia Central	`private.de.icr.io`	166.9.28.35, 166.9.30.2, 166.9.32.2	166.9.248.76, 166.9.248.105, 166.9.248.136
Madri	`private.es.icr.io`	N/A	166.9.248.76, 166.9.248.105, 166.9.248.136
Osaka	`private.jp2.icr.io`	166.9.70.4, 166.9.71.5, 166.9.72.6	166.9.247.39, 166.9.247.73, 166.9.247.105
São Paulo	`private.br.icr.io`	166.9.82.13, 166.9.83.13, 166.9.84.13	166.9.246.72, 166.9.246.104, 166.9.246.130
Toronto	`private.ca.icr.io`	166.9.76.12, 166.9.77.11, 166.9.78.11	166.9.247.143, 166.9.247.170, 166.9.247.207
Sul do Reino Unido	`private.uk.icr.io`	166.9.36.19, 166.9.38.14, 166.9.34.12	166.9.244.9, 166.9.244.45, 166.9.244.73
Leste dos EUA, Sul dos EUA	`private.us.icr.io`	166.9.12.227, 166.9.15.116, 166.9.16.244	166.9.250.214, 166.9.250.246, 166.9.251.21

Criar solicitações de volume persistente

Para criar solicitações de volume persistente em um cluster no qual os nós do trabalhador estão conectados apenas a VLANs privadas, certifique-se de que seu cluster esteja configurado com a versão do Kubernetes ou com as versões do plug-in de armazenamento do IBM Cloud a seguir. Essas versões ativam a comunicação de rede privada de seu cluster para suas instâncias de armazenamento persistente.

Visão geral das versões necessárias do plug-in de armazenamento Kubernetes ou IBM Cloud para clusters privados
Tipo de armazenamento	Versão necessária
Armazenamento de arquivos	Kubernetes versão `1.13.4_1512`, `1.12.6_1544`, `1.11.8_1550`, `1.10.13_1551` ou mais recente
Armazenamento de bloco	Plug-in do IBM Cloud Block Storage versão 1.3.0 ou mais recente
Armazenamento de objeto	Plug-in IBM Cloud Object Storage versão 1.0.3 ou mais recente, serviço IBM Cloud Object Storage configurado com autenticação HMAC

Se você precisar usar uma versão do Kubernetes ou do plug-in de armazenamento IBM Cloud que não ofereça suporte à comunicação de rede pela rede privada, ou se quiser usar o IBM Cloud Object Storage sem autenticação HMAC, permita o acesso de saída por meio da lista de permissões para IBM Cloud infrastructure e IBM Cloud Identity and Access Management:

Permitir todo o tráfego de rede de saída na porta TCP 443.
Permitir acesso ao intervalo de IP da infraestrutura do IBM Cloud para a zona em que seu cluster está na rede front-end (pública) e na rede back-end (privada). Para encontrar a zona de seu cluster, execute ibmcloud ks cluster ls.

Opcional: Configure as regras da lista de permissões para os serviços IBM Cloud Logs e IBM Cloud Monitoring

Para enviar dados de registro e métricas, configure regras de lista de permissões para os serviços IBM Cloud Logs e IBM Cloud Monitoring.

Abertura de portas em uma permitida pública ou privada para tráfego de entrada

É possível permitir acesso de entrada para o NodePort, o balanceador de carga e os serviços do Ingress.

Serviço NodePort: Abra a porta que você configurou ao implementar o serviço para os endereços IP público ou privado para todos os nós do trabalhador para permitir o tráfego. Para encontrar a porta, execute kubectl get svc. A porta está no intervalo de 20000 a 32000.
Serviço de balanceador de carga: Abra a porta que foi configurada na implementação do serviço no endereço IP público ou privado do serviço do balanceador de carga.
Ingresso: Abra a porta 80 para HTTP e a porta 443 para HTTPS para o endereço IP público ou privado do balanceador de carga do aplicativo do Ingress.
Rota: Abra a porta 80 para HTTP e a porta 443 para HTTPS para o endereço IP público do roteador.

Permitindo que o cluster acesse recursos por meio de políticas de rede do Calico

Em vez de configurar um dispositivo de lista de permissões de gateway, você pode optar por usar as políticas de rede do Calico para atuar como uma lista de permissões de cluster na rede pública ou privada. Para obter mais informações,consulte os tópicos a seguir.

Permitir o tráfego de seu cluster em listas de permissões de outros serviços ou em listas de permissões locais

Se quiser acessar serviços que são executados dentro ou fora do site IBM Cloud ou no local e que são protegidos por uma lista de permissões, você pode adicionar os endereços IP dos nós de trabalho nessa lista de permissões para permitir o tráfego de rede de saída para o cluster. Por exemplo, talvez você queira ler dados de um banco de dados IBM Cloud protegido por uma lista de permissões ou especificar as sub-redes do nó de trabalho em uma lista de permissões local para permitir o tráfego de rede do seu cluster.

Efetue login na sua conta. If applicable, target the appropriate resource group. Configure o contexto para o seu cluster.
Obtenha as sub-redes do nó do trabalhador ou os endereços IP do nó do trabalhador.
- Sub-redes de nós de trabalho: Se você pretende alterar o número de nós de trabalho em seu cluster com frequência, por exemplo, se ativar o autoscaler do cluster, talvez não queira atualizar a lista de permissões para cada novo nó de trabalho. Em vez disso, você pode adicionar as sub-redes VLAN que o cluster usa. Lembre-se que a sub-rede VLAN pode ser compartilhada pelos nós do trabalhador em outros clusters. Observe que as sub-redes públicas primárias que o IBM Cloud Kubernetes Service provisiona para seu cluster incluem 14 endereços IP disponíveis e podem ser compartilhadas por outros clusters na mesma VLAN. Quando você tem mais de 14 nós de trabalhador, outra sub-rede é pedida, portanto, é possível que as sub-redes que precisam ser permitidas mudem. Para reduzir a frequência de mudança, crie conjuntos de trabalhadores com tipos de nó do trabalhador de recursos mais altos de CPU e memória para que você não precise incluir nós do trabalhador com frequência.
  1. Liste os nós do trabalhador em seu cluster.
```
ibmcloud ks worker ls --cluster <cluster_name_or_ID>
```
  2. Na saída da etapa anterior, observe todos os IDs de rede exclusivos (primeiros três octetos) do IP público para os nós do trabalhador em seu cluster. Para permitir o tráfego de um cluster somente privado, observe o IP privado como alternativa. Na saída a seguir, os IDs de rede exclusivos são 169.xx.178 e 169.xx.210.
```
ID                                                  Public IP        Private IP     Machine Type        State    Status   Zone    Version   
kube-dal10-crb2f60e9735254ac8b20b9c1e38b649a5-w31   169.xx.178.101   10.xxx.xx.xxx   b3c.4x16.encrypted   normal   Ready    dal10   1.32   
kube-dal10-crb2f60e9735254ac8b20b9c1e38b649a5-w34   169.xx.178.102   10.xxx.xx.xxx   b3c.4x16.encrypted   normal   Ready    dal10   1.32  
kube-dal12-crb2f60e9735254ac8b20b9c1e38b649a5-w32   169.xx.210.101   10.xxx.xx.xxx   b3c.4x16.encrypted   normal   Ready    dal12   1.32   
kube-dal12-crb2f60e9735254ac8b20b9c1e38b649a5-w33   169.xx.210.102   10.xxx.xx.xxx   b3c.4x16.encrypted   normal   Ready    dal12   1.32  
```
  3. Liste as sub-redes VLAN para cada ID de rede exclusivo.
```
ibmcloud sl subnet list | grep -e <networkID1> -e <networkID2>
```
    Exemplo de saída
```
ID        identifier       type                 network_space   datacenter   vlan_id   IPs   hardware   virtual_servers
1234567   169.xx.210.xxx   ADDITIONAL_PRIMARY   PUBLIC          dal12        1122334   16    0          5   
7654321   169.xx.178.xxx   ADDITIONAL_PRIMARY   PUBLIC          dal10        4332211   16    0          6    
```
  4. Recupere o endereço da sub-rede. Na saída, localize o número de IPs. Em seguida, eleve 2 à potência de n igual ao número de IPs. Por exemplo, se o número de IPs for 16, então 2 será elevado para a potência de 4 (n) para igual a 16. Agora, obtenha o CIDR de sub-rede subtraindo o valor de n de 32 bits. Por exemplo, quando n é igual a 4, então, o CIDR é 28 (da equação 32 - 4 = 28). Combine a máscara identificador com o valor CIDR para obter o endereço completo da sub-rede. Na saída anterior, os endereços de sub-rede são:
    - 169.xx.210.xxx/28
    - 169.xx.178.xxx/28
- Endereços IP do nó do trabalhador individual: se você tiver um pequeno número de nós do trabalhador que executam apenas um app e não precisam escalar, ou se para incluir apenas um nó do trabalhador, liste todos os nós do trabalhador no cluster e anote os endereços IP público. Se os seus nós do trabalhador estiverem conectados somente a uma rede privada e você desejar se conectar a serviços da IBM Cloud usando o terminal em serviço de nuvem privada, observe então os endereços IP privados. Apenas esses nós do trabalhador são incluídos. Se você excluir os nós de trabalho ou adicionar nós de trabalho ao cluster, deverá atualizar a lista de permissões adequadamente.
```
ibmcloud ks worker ls --cluster <cluster_name_or_ID>
```
Adicione o CIDR da sub-rede ou os endereços IP à lista de permissões do seu serviço para tráfego de saída ou à lista de permissões local para tráfego de entrada.
Repita essas etapas para cada cluster que você deseja permitir a entrada ou saída de tráfego.

Atualização das listas de permissões do IAM para Kubernetes Service zonas de rede

Por padrão, todos os endereços IP podem ser usados para fazer login no console IBM Cloud e executar ações para gerenciar o seu cluster, como criar, atualizar, excluir ou visualizar credenciais. No console IBM Cloud Identity and Access Management (IAM), é possível criar uma lista de permissões especificando quais endereços IP possuem acesso e todos os outros endereços IP são restritos.

Em sua lista de permissões, você também deve configurar zonas de rede no plano de controle do IBM Cloud Kubernetes Service para a região em que seu cluster está localizado, de modo que o IBM Cloud Kubernetes Service possa criar ou acessar componentes como ALBs de entrada

Antes de iniciar, as etapas a seguir requerem a mudança da lista de permissões do IAM para o usuário cujas credenciais são usadas para as permissões de infraestrutura do grupo de recursos e da região do cluster. Se você for o proprietário da credencial, será possível mudar suas próprias configurações da lista de permissões do IAM. Se você não for o proprietário das credenciais, mas tiver atribuído a função de acesso à plataforma IAM de Editor ou Administrador IBM Cloud para o serviço de Gerenciamento de usuários, poderá atualizar as redes para o proprietário das credenciais.

Identifique quais credenciais do usuário são usadas para as permissões de infraestrutura do grupo de recursos e região do cluster.
1. Verifique a chave de API para uma região e um grupo de recursos do cluster.
```
ibmcloud ks api-key info --cluster <cluster_name_or_ID>
```
  Exemplo de saída
```
Getting information about the API key owner for cluster <cluster_name>...
OK
Name                Email   
<user_name>         <name@email.com>
```
2. Verifique se a conta de infraestrutura para a região e o grupo de recursos está configurada manualmente para usar uma conta de infraestrutura da IBM Cloud diferente.
```
ibmcloud ks credential get --region <us-south>
```
  Saída de exemplo se as credenciais estiverem configuradas para usar uma conta diferente. Nesse caso, as credenciais de infraestrutura do usuário serão usadas para a região e o grupo de recursos que você destinou, mesmo se as credenciais de um usuário diferente forem armazenadas na chave de API recuperada na etapa anterior.
```
OK
Infrastructure credentials for user name <1234567_name@email.com> set for resource group <resource_group_name>.
```
  Saída de exemplo se as credenciais não estiverem configuradas para usar uma conta diferente. Nesse caso, o proprietário da chave de API que você recuperou na etapa anterior tem as credenciais de infraestrutura que são usadas para a região e o grupo de recursos.
```
FAILED
No credentials set for resource group <resource_group_name>.: The user credentials could not be found. (E0051)
```
Efetue login no console da IBM Cloud.
Crie zonas de rede que incluam os Kubernetes Service IPs para todas as regiões ou apenas para as regiões em que você tem clusters.
1. Na conta em que o cluster está, na barra de menus, clique em Manage > Context-based restrictions.
2. Clique em Zonas de rede > Criar.
3. Para Name, digite um nome descritivo para a zona de rede, como us-south-kubernetes-service-network-zone.
4. Não insira nenhum valor nas seções Allowed IP addresses e Allowed VPCs.
5. Na seção Referenciar um serviço, selecione Kubernetes Service e clique em +.
6. Para Locais, você pode deixar o campo vazio para que todos os locais sejam usados, o que se aplica a clusters em outras regiões, ou pode especificar uma única região.
7. Clique em Next e revise as seleções.
8. Clique em Criar.
9. Repita o procedimento para outras zonas.
Adicione os nomes das zonas de rede à sua lista de permissões do IAM.
1. Na barra de menus, clique em Gerenciar > Acesso (IAM) e selecione Configurações.
2. Em Restrict IP address access (Restringir acesso ao endereço IP ), selecione Enable (Ativar ) e forneça o nome da zona de rede da etapa anterior.
3. Clique em Aplicar.

Obtendo seus endereços IP Kubernetes Service subnet

Siga as etapas para obter os endereços IP de subnet corretos para adicionar à sua permitida IAM.

Como obter os seus endereços IP subnet no console

Na lista de recursos do console IBM Cloud, clique no seu cluster.
Clique em Nós de trabalho.
Observe cada VLAN Pública usada pelos nós do trabalhador em seu cluster. Vários nós do trabalhador podem usar a mesma VLANs pública
No menu do console IBM Cloud , clique em Infraestrutura > Infraestrutura clássica > Gerenciamento de IP > VLANs.
Clique em cada VLAN pública para verificar se ela é usada pelos nós de trabalho em seu cluster.
Para cada VLAN pública que é usada pelos nós do trabalhador em seu cluster, encontre a seção Subnets e observe cada endereço IP incluído na tabela. Estes são os endereços IP que você deve incluir em seu allowlist.

Como obter seus endereços IP subnet na CLI

Liste as VLANs públicas que seus nós trabalhadores usam. A saída é formatada como publicVLAN=<vlan_id>.
```
kubectl describe nodes | grep publicVLAN | sort | uniq
```

Para cada VLAN pública, encontre as sub-redes públicas associadas. Na saída, observe os endereços IP subnet na coluna identificador.

ibmcloud sl subnet list | grep <vlan-id>

Exemplo de saída de sub-redes associadas à VLAN pública com ID 2761690.

ID        identifier        type                 network_space   datacenter   vlan_id   IPs   hardware   virtual_servers  
1962263   169.62.46.56      SECONDARY_ON_VLAN    PUBLIC          wdc07        2761690   8     0          0   
2008207   169.62.39.248     SECONDARY_ON_VLAN    PUBLIC          wdc07        2761690   8     0          0   
2342562   169.62.2.128      ADDITIONAL_PRIMARY   PUBLIC          wdc07        2761690   16    0          5

Liste os nós do trabalhador e obterá seus IPs públicos. Na saída, os IPs públicos são listados na coluna IP-IP. Observe quais desses endereços IP estão contidos nas sub-redes que você listou anteriormente, e observe aqueles IDs de sub-rede.

Para cada ID de sub-rede, execute o comando para obter os detalhes da sub-rede. Em cada saída, observe o endereço IP na coluna identificador. Este é o endereço IP que você deve adicionar ao IAM allowlist.

ibmcloud sl subnet detail <subnet_id>

Exemplo de saída

Name             Value   
ID               2342562   
identifier       169.62.2.128/28   
subnet type      ADDITIONAL_PRIMARY   
network space    PUBLIC   
gateway          169.62.2.129   
broadcast        169.62.2.143   
datacenter       wdc07   
usable ips       13   
IP address       ID          IP address      
                186531376   169.62.2.128      
                186531378   169.62.2.129      
                186531380   169.62.2.130      
                186531382   169.62.2.131      
                186531384   169.62.2.132      
                186531386   169.62.2.133      
                186531388   169.62.2.134      
                186531390   169.62.2.135      
                186531392   169.62.2.136      
                186531394   169.62.2.137      
                186531396   169.62.2.138      
                186531398   169.62.2.139      
                186531400   169.62.2.140      
                186531402   169.62.2.141      
                186531404   169.62.2.142      
                186531406   169.62.2.143      

virtual guests   hostname                                                 domain    public_ip      private_ip      
                kube-c8ofi5pw077drsbovf90-roks47class-default-00000187   iks.ibm   169.62.2.130   10.191.55.109      
                kube-c8ofi5pw077drsbovf90-roks47class-default-000002a2   iks.ibm   169.62.2.133   10.191.55.108      
                kube-c8ofi5pw077drsbovf90-roks47class-default-00000372   iks.ibm   169.62.2.135   10.191.55.121      
                kube-c8ofh6kw0jj8l6jovf8g-iks22classi-default-00000219   iks.ibm   169.62.2.132   10.191.55.105      
                kube-c8ofh6kw0jj8l6jovf8g-iks22classi-default-0000012f   iks.ibm   169.62.2.134   10.191.55.107

Abertura de portas e endereços IP necessários em sua lista de permissões

Abertura de portas em uma lista de permissões corporativa

Execução dos comandos ibmcloud, ibmcloud ks e ibmcloud cr por trás de uma lista de permissões

Executando kubectl comandos de trás de um allowlist

Executando calicoctl comandos de trás de um allowlist

Abertura de portas nas listas de permissões do dispositivo de gateway

Abertura de portas necessárias em uma lista de permissões pública

Permitir que os nós do trabalhador se comuniquem com o cluster mestre

Permita que os nós dos trabalhadores se comuniquem com o IBM Cloud Container Registry

Permita o tráfego de rede de saída do nó do trabalhador para o IAM

Opcional: permita o tráfego de rede de saída dos nós do trabalhador para os serviços Monitoring e IBM Cloud Logs

Opcional: permitir o tráfego de rede de entrada e saída para o complemento Istio gerenciado

Próximas etapas

Abertura de portas necessárias em uma lista de permissões privada

Permitir que os nós do trabalhador se comuniquem com o cluster mestre

Portas Abertas

Ativar a comunicação de trabalhador para trabalhador

Permitir que os nós do trabalhador se comuniquem com o IBM Cloud Container Registry

Criar solicitações de volume persistente

Opcional: Configure as regras da lista de permissões para os serviços IBM Cloud Logs e IBM Cloud Monitoring

Abertura de portas em uma permitida pública ou privada para tráfego de entrada

Permitindo que o cluster acesse recursos por meio de políticas de rede do Calico

Permitir o tráfego de seu cluster em listas de permissões de outros serviços ou em listas de permissões locais

Atualização das listas de permissões do IAM para Kubernetes Service zonas de rede

Obtendo seus endereços IP Kubernetes Service subnet

Como obter os seus endereços IP subnet no console

Como obter seus endereços IP subnet na CLI

Execução dos comandos `ibmcloud`, `ibmcloud ks` e `ibmcloud cr` por trás de uma lista de permissões

Executando `kubectl` comandos de trás de um allowlist

Executando `calicoctl` comandos de trás de um allowlist