我们在this documentation中看到。默认情况下,同一子网中的VM(GCP计算实例)可以访问私有群集。这是文档中提到的内容:
From other VMs in the cluster's VPC network:
Other VMs can use kubectl to communicate with the private endpoint
only if they are in the same region as the cluster
and their internal IP addresses are included in
the list of master authorized networks.
我已经测试过:
此私有群集如何确定要授予访问权限的VM,拒绝哪些VM?
答案 0 :(得分:0)
它不受私有集群的控制。
它由为vpc子网配置的路由和防火墙规则控制。即使在同一vpc中,也可以通过添加规则来禁用它们之间的通信。
答案 1 :(得分:0)
私有集群中的Compute Engine实例(或 nodes )与互联网隔离,可以访问the Master API server endpoint进行身份验证,该身份公开显示在Google管理的项目中。但是,默认情况下,VPC外部的资源不允许进入该端点。
主授权网络用于允许GKE主API可用于白名单中想要对其进行身份验证的外部网络/地址。与禁止在群集VPC中的计算资源内进行通信无关。为此,您只需使用VPC level firewall rules。