別のプロジェクトでGKE - > GCRトラフィックを許可するファイアウォールルール

Question

私はGCPでKubernetesを実行しています.GKEクラスタとコンテナレジストリは別々のプロジェクトにあります。私は私のGCRプロジェクトにGKEサービスアカウントを追加しました。

ここでは、GKEプロジェクトからの送信トラフィックを計算レベルで制限したいと考えています。私はVPCネットワークから出て行くトラフィックを落とすために出口のファイアウォールルールを追加しました。その結果、GKEはレジストリからイメージを引き出すことはできません。別のファイアウォールルールを追加して、GKEサービスアカウントの出力トラフィックを許可しましたが、それを動作させるために、宛先フィルタとして「0.0.0.0/0すべてのポート」を追加する必要がありました。これを行うより良い方法はありますか？ GCRのIPアドレス範囲/ポートはありますか？

ありがとうございます！

Answer 1

GCRには専用のIPアドレス範囲がありません。 私はGCRのトラフィックを制限する方法を知らない。

申し訳ありません。

Answer 2

実際に行う方法があります。

VPCネットワークを作成し、Private Google Accessを有効にします。あなたが文書で読むことができたよう：

アクセス可能なサービスを使用すると、プライベートGoogleのアクセスを使用して到達することができ

Googleサービスが含まれます：

コンテナレジストリサービス、Googleクラウドプラットフォーム上のプライベートドッカーイメージリポジトリを

次に、ファイアウォールでの接続を許可しないでください。デフォルトではブロックされます。これで、GKEクラスタに到達することはできませんが、GCRで画像を取得することができます。