Firewall-Regel, um GKE -> GCR-Verkehr in separaten Projekten zu ermöglichen

Question

Ich betreibe Kubernetes in GCP und ich habe den GKE-Cluster und die Container-Registry in separaten Projekten. Ich habe meinem GCR-Projekt den GKE-Service-Account hinzugefügt und alles funktioniert super.

Jetzt möchte ich ausgehenden Verkehr von meinem GKE-Projekt auf der Rechenebene beschränken. Ich habe eine Egress-Firewall-Regel hinzugefügt, um jeglichen Datenverkehr aus meinem VPC-Netzwerk zu entfernen. Folglich kann GKE keine Bilder mehr aus der Registrierung ziehen. Ich habe eine weitere Firewall-Regel hinzugefügt, um den Egress-Verkehr für das GKE-Dienstkonto zu erlauben, aber um es zum Laufen zu bringen, musste ich "0.0.0.0/0 alle Ports" als Zielfilter hinzufügen. Gibt es einen besseren Weg, dies zu tun? Gibt es einen IP-Adressbereich/-port für GCR?

Danke!

Answer 1

GCR hat keinen dedizierten IP-Adressbereich. Mir ist keine Möglichkeit bekannt, den Datenverkehr nur für GCR zu beschränken.

Entschuldigung.

Answer 2

Es gibt tatsächlich einen Weg, es zu tun.

Erstellen Sie ein VPC-Netzwerk und aktivieren Sie Private Google Access.

Dienstleistungen Barriere

Google-Dienste, die Sie erreichen können mit privatem Google Zugang:

Container Registry-Service, eine eigene Docker Image-Repository auf Google Cloud Platform

Wie Sie in der Dokumentation lesen

Dann erlauben Sie keine Verbindung in der Firewall, und es wird standardmäßig blockiert. Damit erhalten Sie einen GKE-Cluster, der nicht erreichbar ist, aber Bilder im GCR ziehen kann.