Private GKE 叢集需要額外的 VPC 網路防火牆規則才能使
admission-webhook 正常運作。請按照 Google 雲端文件中的說明 (為特定使用案例新增防火牆規則),新增允許來自您主節點來源 IP 範圍的流量到 trendmicro-admission-controller pod 的防火牆規則。在建立規則時,您需要指定允許流量的埠。
trendmicro-admission-controller pod 已啟動埠 8443。以下是新增防火牆規則的
gcloud 命令範例:gcloud compute firewall-rules create "allow-apiserver-to-admission-webhook-8443" \
--action ALLOW \
--direction INGRESS \
--source-ranges ${CONTROL_PLANE_RANGE} \
--rules tcp:8443 \
--description="Allow apiserver access to admission webhook pod on port 8443" \
--target-tags ${TARGET}