У меня два проекта на GCP
Project-A
Project-B
У меня запущен кластер Kubernetes Project-A, чьи узлы автоматически масштабируются в зависимости от использования. Следовательно, нет способа узнать (я предполагаю), какие IP-адреса будут назначены узлам, поскольку сами узлы являются динамическими.
Я хочу занести в белый список все узлы этого кластера в Project-A в Project-Bправила брандмауэра.
Но ограничение таково:
Возможно ли это сделать?
Я хочу занести в белый список все узлы этого кластера в Project-A в правилах брандмауэра Project-B.
Нет, вы не можете сделать это ни путем внесения их IP-адресов в белый список (так как нет возможности узнать их заранее), ни с помощью сетевых тегов (которые работают в рамках одного проекта).
Теоретически вы можете назначить свой Узлы GKE с участием статические IP-адреса. Вы можете увидеть эту опцию в консоли, когда перейдете к: Networking -> VPC Network -> External IP addresses. Вы можете изменить IP-адрес каждого узла из Ephemeral к Static но это будет работать только некоторое время. Каждый раз, когда узел воссоздается из-за авторемонт или автоматическое обновление (обычно вы не хотите отключать эти функции в своем пуле узлов), ему будет назначен новый эфемерный IP а статический останется неиспользованным.
Но все это в любом случае не относится к вашему случаю, поскольку вы используете автомасштабирование функции, и в настоящее время нет возможности назначить ее вновь созданным узлам, скажем, только IP-адресам из определенного зарезервированного пула.
Ты можешь использовать Облачный NAT вместо этого и только в белый список NAT-шлюз IP-адрес в Project-B's правила брандмауэра. Взгляни на этот ответ.