У меня две политики Cloud Armor. Политика «А» позволяет нашей офисной сети подключаться к определенным службам. Политика «B» позволяет клиенту службы использовать API.
Я не могу добавить правило политики «B» к политике «A», потому что тогда правило (IP-адрес клиента) будет иметь доступ ко всем службам, к которым применяется политика «A». Поэтому я выделил его в отдельную Политику «Б».
Итак, у меня есть два разных ресурса BackendConfig. Один ссылается на политику «A», а другой - на политику «B».
Следующим шагом, который я сделал, было то, что я каким-то образом применил обе конфигурации бэкэнда облачной брони к одной конкретной службе. Офисная сеть должна иметь доступ к этим службам плюс IP-адрес нашего клиента. Вот как я думал, что это может сработать:
metadata:
annotations:
beta.cloud.google.com/backend-config: '{"default":{"policy-a-cloud-armor-backend-config","policy-b-cloud-armor-backend-config"}}'
К сожалению, это не работает. На панели политик в GCP появляется следующее предупреждение:
This policy has not been applied to any targets yet, so the policy will not affect any traffic.
Есть идеи, как я могу сделать этот эксклюзивный доступ возможным?
'{"ports": {"http":"config-http", "http2" :"config-http2"}, "default": "config-default"}';
, полеports
отсутствует. - person mebius99   schedule 22.04.2020