如何使用Google Cloud Armor将GKE上的几个IP列入白名单？

Question

我们正在尝试阻止所有非集群流量，除了几个基于此云装甲walk through的外部IP地址。

GKE集群可以识别规则，但它仍然会阻止允许的IP。以下是以下步骤：

1)创建策略+规则

gcloud beta compute security-policies create allow-team-only \
    --description "Cloud Armor deny non-team IPs"


gcloud beta compute security-policies rules create 1000 \
    --security-policy allow-team-only \
    --description "Deny traffic from 0.0.0.0/0." \
    --src-ip-ranges "0.0.0.0/0" \
    --action "deny-404"


gcloud beta compute security-policies rules create 999 \
    --security-policy allow-team-only \
    --description "Allow traffic from <IP ADDRESS>." \
    --src-ip-ranges "<IP ADDRESS>/32" \
    --action "allow"    

2)将规则应用于我们的服务，这些服务位于端口8080上

metadata:
  annotations:
    beta.cloud.google.com/backend-config: '{"ports": {"8080":"allow-team-only"}}'  

我忽略了什么？

谢谢!

Answer 1

对于那些在这个问题上苦苦挣扎的人，首先检查你的日志，然后确认你的IP地址没有轮换。我在一个有轮换I的公共网络上，这是我不知道的。