Tạo quy tắc tường lửa xâm nhập cho API GKE

Đối với mục đích thử nghiệm, tôi muốn cung cấp công khai điểm cuối API GKE. Tuy nhiên, dường như tôi không thể tạo quy tắc tường lửa để cho phép điều này. tôi nhận được lỗi "source_ranges": xung đột với Destination_ranges với mã địa hình sau để tạo nó.

Bạn có biết tại sao tôi không thể cho phép lưu lượng truy cập internet nhưng lọc trên IP đích không? Cảm ơn.

tài nguyên "google_compute_firewall" "gke_api_allow" {
  name = "gke-${var.cluster_name}-allow-firewall"
  dự án = var.project_id
  mạng = google_compute_network.gke_cluster_vpc.name
  description = "Tường lửa chính cho phép lưu lượng truy cập đến điểm cuối công khai API cụm GKE."

  ưu tiên = 9
  hướng = "INRESS"

  cho phép {
    cổng = [443]
    giao thức = "tcp"
  }

  Destination_ranges = ["${google_container_cluster.gke_cluster.endpoint}/32"]
  source_ranges = ["0.0.0.0/0"]

  log_config {
    siêu dữ liệu = "INCLUDE_ALL_METADATA"
  }
}

Công cụ Kubernetes của Google (GKE) tự động tạo quy tắc tường lửa trong Google Cloud.

Cảnh báo: Không sửa đổi hoặc xóa các quy tắc tường lửa do GKE tạo, nếu không bạn có thể gặp phải hành vi không mong muốn trong các cụm của mình.

Mức độ ưu tiên cho tất cả các quy tắc tường lửa được tạo tự động là 1000, đây là giá trị mặc định cho các quy tắc tường lửa. Nếu bạn muốn kiểm soát nhiều hơn hành vi của tường lửa, bạn có thể tạo quy tắc tường lửa với mức độ ưu tiên cao hơn. Các quy tắc tường lửa có mức độ ưu tiên cao hơn được áp dụng trước các quy tắc tường lửa được tạo tự động.

GKE tạo quy tắc tường lửa xâm nhập sau khi tạo Dịch vụ.

Tên: k8s-fw-[loadbalancer-hash]

Mục đích: Cho phép lưu lượng truy cập vào đến một Dịch vụ.

Nguồn: Được chỉ định trong bảng kê khai Dịch vụ. Mặc định là 0.0.0.0/0 (bất kỳ nguồn nào)

Đích đến: Thẻ nút

Giao thức và cổng: TCP và UDP trên các cổng được chỉ định trong tệp kê khai Dịch vụ.

Đây là một vấn đề tương tự với một cách giải quyết được cung cấp.