我们可以在防火墙规则中使用标签来允许从一个gke群集中的pod到另一个使用ip别名的pod中的流量吗?

时间:2019-07-15 14:18:57

标签: networking google-kubernetes-engine firewall

我想允许从运行在gke群集上的Pod到另一个群集(vpc本机)的流量。是否可以使用节点标签执行此操作?我尝试了一下,但似乎没有用。它仅适用于源范围。有人可以确认这种情况吗?还是我错过了什么?

我创建了两个集群(1.12.8-gke.10),一个集群标记为routing-test,另一个集群标记为central-cluster。

在使用源范围时,在防火墙规则中使用源标签将不起作用。

例如,我有

gcloud container clusters create routing-test-1 --zone us-east1-d \
--no-enable-legacy-authorization --no-enable-basic-auth \
--tags routing-test --num-nodes 1

gcloud container clusters create routing-central --region us-east1 \
--no-enable-legacy-authorization --enable-ip-alias --no-enable-basic-auth \
--tags central-cluster --num-nodes 1

这有效:

gcloud compute --project=cicd-clusters firewall-rules create allow-traffic-test-1 \
--direction=INGRESS --priority=1000 --network=default --action=ALLOW \
--rules=tcp:80 --source-ranges=10.16.0.0/14 --target-tags=central-cluster

这不起作用:

gcloud compute --project=cicd-clusters firewall-rules create allow-traffic-test-2 \
--direction=INGRESS --priority=1000 --network=default --action=ALLOW \
--rules=tcp:80 --source-tags=routing-test --target-tags=central-cluster 

0 个答案:

没有答案