สร้างกฎไฟร์วอลล์ขาเข้าสำหรับ GKE API

เพื่อวัตถุประสงค์ในการทดสอบ ฉันต้องการทำให้ GKE API endpoint พร้อมใช้งานแบบสาธารณะ อย่างไรก็ตาม ดูเหมือนว่าฉันไม่สามารถสร้างกฎไฟร์วอลล์เพื่ออนุญาตสิ่งนี้ได้ ฉันได้รับข้อผิดพลาด "source_ranges": ขัดแย้งกับ destination_ranges ด้วยรหัสดินต่อไปนี้เพื่อสร้าง

มีความคิดใดว่าทำไมฉันจึงไม่อนุญาตให้รับส่งข้อมูลทางอินเทอร์เน็ต แต่กรอง IP ปลายทาง ขอบคุณ.

ทรัพยากร "google_compute_firewall" "gke_api_allow" {
  name = "gke-${var.cluster_name}-allow-firewall"
  โครงการ = var.project_id
  เครือข่าย = google_compute_network.gke_cluster_vpc.name
  คำอธิบาย = "ไฟร์วอลล์หลักที่อนุญาตให้รับส่งข้อมูลไปยังจุดสิ้นสุดสาธารณะ API ของคลัสเตอร์ GKE"

  ลำดับความสำคัญ = 9
  ทิศทาง = "INGRESS"

  อนุญาต {
    พอร์ต = [443]
    โปรโตคอล = "tcp"
  }

  destination_ranges = ["${google_container_cluster.gke_cluster.endpoint}/32"]
  source_ranges = ["0.0.0.0/0"]

  log_config {
    ข้อมูลเมตา = "INCLUDE_ALL_METADATA"
  }
}

Google Kubernetes Engine (GKE) สร้างกฎไฟร์วอลล์โดยอัตโนมัติ ใน Google Cloud

คำเตือน: อย่าแก้ไขหรือลบกฎไฟร์วอลล์ที่สร้างโดย GKE มิฉะนั้นคุณอาจพบลักษณะการทำงานที่ไม่คาดคิดในคลัสเตอร์ของคุณ

ลำดับความสำคัญของกฎไฟร์วอลล์ที่สร้างขึ้นโดยอัตโนมัติทั้งหมดคือ 1,000 ซึ่งเป็นค่าเริ่มต้นสำหรับกฎไฟร์วอลล์ หากคุณต้องการควบคุมการทำงานของไฟร์วอลล์มากขึ้น คุณสามารถสร้างกฎไฟร์วอลล์ที่มีลำดับความสำคัญสูงกว่าได้ กฎไฟร์วอลล์ที่มีลำดับความสำคัญสูงกว่าจะถูกนำไปใช้ก่อนที่จะสร้างกฎไฟร์วอลล์โดยอัตโนมัติ

GKE สร้างกฎไฟร์วอลล์ขาเข้าต่อไปนี้เมื่อสร้างบริการ

ชื่อ: k8s-fw-[loadbalancer-แฮช]

วัตถุประสงค์: อนุญาตการรับส่งข้อมูลขาเข้าเพื่อเข้าถึงบริการ

ที่มา: ระบุไว้ในรายการบริการ ค่าเริ่มต้นเป็น 0.0.0.0/0 (แหล่งใดก็ได้)

ปลายทาง: โหนดแท็ก

โปรโตคอลและพอร์ต: TCP และ UDP บนพอร์ตที่ระบุในรายการบริการ

มี ปัญหาที่คล้ายกัน พร้อมวิธีแก้ปัญหาที่ให้มา