谷歌云上GKE与Compute引擎的私有连接

Question

• I有一个具有持久文件存储的计算引擎实例，该实例位于GKE集群之外。
• 希望在计算引擎实例上打开一个特定的
• 端口，以便只有GKE集群中的节点可以访问它。计算引擎实例和GKE集群中的
• 位于同一个GCP项目、网络和子网中。
• GKE集群不是私有的，而且我有一个入口公开了我希望暴露给internet的唯一服务。

F 29

我尝试过创建三种不同类型的防火墙规则，这些规则不起作用：

• 通过计算引擎实例和K8s节点共享服务帐户。通过网络标记(是的，我正在使用在VM实例页上显式指定的网络标记)。
• By IP地址，其中使用网络标记作为目标和私有IANA IP范围10.0.0.0/8、172.16.0.0/12和192.168.0.0/16作为源代码。H 219f 220

唯一起作用的是最后一个选项，但使用0.0.0.0/0作为源IP范围。

我看过几个相关的问题，如：

• Google App Engine communicate with Compute Engine over internal network
• Can I launch Google Container Engine (GKE) in Private GCP network Subnet?

但是我并不想让我的GKE集群成为私有的，我已经尝试使用网络标记来创建防火墙规则，但没有效果。

我错过了什么还是这不可能？

Answer 1

不知道我是怎么错过这个的，相当肯定几个月前我尝试过类似的东西，但肯定有其他错误的配置。

在GKE集群详细信息页面上，有一个pod地址范围。将防火墙源范围设置为GKE pod地址范围给了我想要的结果。

​

​