У нас есть управляемый Google кластер Kubernetes внутри подсети subA сети VPC Network, а также у нас есть подсеть subB в другом регионе как часть этого VPC. В кластере Kubernetes включен псевдоним VPC, поэтому диапазон услуг и диапазон модулей также практически являются подсетями VPC (то же локальное пространство 10.0.0.0/8).
Мы хотим сделать сервис kubernetes (с внутренним балансировщиком нагрузки) размещенным на subA и доступным для subB. Нам удалось сделать экземпляры в subA и subB доступными друг для друга с помощью правил брандмауэра, но они нацелены только на сеть (не подсеть), учетные записи служб или теги, поэтому не могут использоваться против балансировщиков нагрузки.
Какие-нибудь подсказки?
Как вы говорите, подсети subA и SubB являются частью одной сети VPC, поэтому нет необходимости применять правила межсетевого экрана для управления трафиком внутри сети VPC между обеими подсетями. Брандмауэр обрабатывает только трафик, который входит (входит) в сеть VPC из других сетей, и, в конечном итоге, исходящий трафик (исходящий), который выходит из сети VPC.
Было бы интересно увидеть описание (kubectl description svc) вашего балансировщика нагрузки, чтобы проверить, ведет ли оно к нужным конечным точкам, чтобы убедиться, что модуль будет отвечать на запросы, отправленные балансировщику нагрузки.