별도의 프로젝트에서 GKE -> GCR 트래픽을 허용하는 방화벽 규칙

Question

GCP에서 Kubernetes를 실행 중이며 별도의 프로젝트에 GKE 클러스터 및 컨테이너 레지스트리가 있습니다. GCR 서비스 계정을 GCR 프로젝트에 추가했는데 모든 것이 훌륭하게 작동합니다.

이제 GKE 프로젝트의 나가는 트래픽을 컴퓨터 수준에서 제한하고 싶습니다. 내 VPC 네트워크에서 나가는 트래픽을 삭제하는 송신 방화벽 규칙을 추가했습니다. 결과적으로 GKE는 더 이상 레지스트리에서 이미지를 가져올 수 없습니다. 나는 GKE 서비스 계정에 대한 출구 트래픽을 허용하는 또 다른 방화벽 규칙을 추가했으나 작동하려면 "0.0.0.0/0 모든 포트"를 대상 필터로 추가해야했습니다. 이 작업을 수행하는 더 좋은 방법이 있습니까? GCR 용 IP 주소 범위/포트가 있습니까?

감사합니다.

Answer 1

GCR에는 전용 IP 주소 범위가 없습니다. GCR에 대해서만 트래픽을 제한하는 방법을 알지 못합니다.

죄송합니다.

Answer 2

실제로 방법이 있습니다.

VPC 네트워크를 만들고 Private Google Access을 활성화하십시오. 당신이 문서에서 읽을 수 있듯이 :

액세스 서비스

당신이 개인 구글 액세스를 사용하여 도달 할 수

Google 서비스 은 다음과 같습니다

컨테이너 레지스트리 서비스, 구글 클라우드 플랫폼

에 개인 도커 이미지 저장소를

그런 다음 방화벽에서 연결을 허용하지 마십시오. 기본적으로 차단됩니다. 이것으로 도달 할 수없는 GKE 클러스터를 얻을 수 있지만 GCR에서 이미지를 가져올 수 있습니다.