我在 GCP 上有两个项目
Project-A
Project-B
我在 上运行了 kubernetes 集群Project-A,其节点会根据使用情况自动缩放。因此,无法知道(我猜)节点将被分配给哪些 IP,因为节点本身是动态的。
我想将此集群的所有节点列入防火墙规则的白Project-A名单Project-B。
但限制是:
- 出于安全考虑,我无法在项目之间使用共享 VPC 网络
这可能吗?
答案1
我想将 Project-A 中该集群的所有节点列入 Project-B 的防火墙规则白名单。
不可以,您无法通过将其 IP 地址列入白名单来做到这一点(因为无法提前知道它们),也无法通过使用网络标签(在一个项目内有效)来做到这一点。
理论上你可以分配你的GKE 节点和静态 IP 地址。您可以在控制台中看到此选项:Networking -> VPC Network -> External IP addresses。您可以将每个节点的 IP 从更改为Ephemeral,Static但这只能在一段时间内有效。每次由于以下原因重新创建节点时自动修理或者自动升级(通常你不想在节点池中禁用这些功能),它将被分配新的临时 IP而静态的将保持未使用状态。
但这一切都不适用于你的情况,因为你使用自动缩放功能,并且目前没有办法让它分配给新创建的节点,比如说,只有来自某个保留池的 IP 地址。