мы пытаемся заблокировать весь некластерный трафик, за исключением нескольких внешних IP-адресов, на основе этой Cloud Armor пройти.
Кластер GKE распознает правила, но по-прежнему блокирует разрешенный IP-адрес. Вот следующие шаги:
1) Создайте политику + правила
gcloud beta compute security-policies create allow-team-only \
--description "Cloud Armor deny non-team IPs"
gcloud beta compute security-policies rules create 1000 \
--security-policy allow-team-only \
--description "Deny traffic from 0.0.0.0/0." \
--src-ip-ranges "0.0.0.0/0" \
--action "deny-404"
gcloud beta compute security-policies rules create 999 \
--security-policy allow-team-only \
--description "Allow traffic from <IP ADDRESS>." \
--src-ip-ranges "<IP ADDRESS>/32" \
--action "allow"
2) Примените правила к нашим сервисам, которые находятся на порту 8080
metadata:
annotations:
beta.cloud.google.com/backend-config: '{"ports": {"8080":"allow-team-only"}}'
Что я упускаю из виду?
Спасибо!