GKE 与 Google Cloud 上的 Compute Engine 之间的专用连接

Question

• 我有一个在 GKE 集群之外需要的具有持久文件存储的计算引擎实例。
• 我想在 Compute Engine 实例上打开一个特定的 TCP 端口，以便只有 GKE 集群中的节点可以访问它。
• Compute Engine 实例和 GKE 集群位于同一个 GCP 项目、网络和子网中。
• GKE 集群不是私有的，我有一个入口，将我想要暴露给互联网的唯一服务公开。

我尝试创建三种不起作用的防火墙规则：

• 通过 Compute Engine 实例和 K8s 节点上的共享服务帐户。
• 通过网络标签 - （是的，我正在使用虚拟机实例页面上明确指定的网络标签）。
• 通过 IP 地址，我使用网络标签作为目标和私有 IANA IP 范围10.0.0.0/8 、 172.16.0.0/12和192.168.0.0/16作为源。

唯一有效的是最后一个选项，但使用0.0.0.0/0作为源 IP 范围。

我查看了一些相关的问题，例如：

• Google App Engine 通过内部网络与 Compute Engine 通信
• 我可以在私有 GCP 网络子网中启动 Google Container Engine (GKE) 吗？

但我不希望将我的 GKE 集群设为私有，我尝试使用网络标签创建防火墙规则但无济于事。

我错过了什么或者这是不可能的？

Answer 1

不知道我是怎么错过的，相当肯定我在几个月前尝试过类似的东西，但肯定有其他错误配置。

在 GKE 集群详情页面，有一个 pod 地址范围。 将防火墙源范围设置为 GKE pod 地址范围给了我想要的结果。