限定公開GKEクラスタでのadmission-webhookのファイアウォールルールの追加

限定公開GKEクラスタには、admission-webhook動作します。 Google Cloudドキュメント (特定の用途にファイアウォールルールを追加する) を追加して、マスターの送信元IP範囲からマスターの送信元IP範囲へのトラフィックを許可するファイアウォールルールを追加します。 Trendmicro-admission-controllerポッド。

ルールの作成時に、トラフィックを許可するポートを指定する必要があります。はTrendmicro-admission-controllerポッドにはポートがあります8443有効になっています。

gcloudファイアウォールルールを追加するコマンドの例を次に示します:

gcloud compute firewall-rules create "allow-apiserver-to-admission-webhook-8443" \
    --action ALLOW \
    --direction INGRESS \
    --source-ranges ${CONTROL_PLANE_RANGE} \
    --rules tcp:8443 \
    --description="Allow apiserver access to admission webhook pod on port 8443" \
    --target-tags ${TARGET}