[英]GKE node pool tags and firewall rules
我有一個 GCP 項目:
su.net0
: cidr 10.1.0.0/24
su.net1
: cidr 10.2.0.0/24
su.net0
和 su.net 中的 GKE 集群:
172.16.0.0/18
172.16.64.0/20
gke-pool
su.net1
中的 VM 實例和 tags agent
我想創建一個允許 GKE 集群中的 pod 連接到 VM 的防火牆規則,因此我創建了以下防火牆規則:
network
: VPC
網絡direction
: INGRESS
gke-pool
agent
但它不起作用。
相反,如果我將源范圍設置為 pods cidr ( 172.16.0.0/18
),它就可以工作。
有什么建議么?
那是因為您使用的是VPC Native Cluster 。 VPC 原生集群是默認模式,它們使 Pod IP 在 VPC 中可見。 這意味着當 Pod 與 VPC 上的目標通信時,Pod 的 IP 不是節點 IP 后面的 Source Nated。
你有兩個選擇:
那么,如果我們反轉方向邏輯,為什么 EGRESS 規則會起作用呢? 例如
VPC
網絡EGRESS
10.2.0.0/24
(VM su.net)gke-pool
EGRESS 流量的處理方式是否與 INGRESS 不同?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.