Как частные кластеры в GKE аутентифицируют экземпляры вычислений GCP (VM) в той же подсети?

Question

Как мы видим в этой документации .Частный кластер по умолчанию доступен виртуальным машинам (экземплярам вычислений GCP) в той же подсети.Вот что упомянуто в документации:

From other VMs in the cluster's VPC network: 
Other VMs can use kubectl to communicate with the private endpoint
only if they are in the same region as the cluster 
and their internal IP addresses are included in 
the list of master authorized networks.

Я проверил это:

• кластер доступен из виртуальных машин в той же подсети, что и кластер
• кластер недоступен для виртуальных машин в разных подсетях.

Как этот частный кластер определяет, какие виртуальные машины должны предоставить доступ и какие виртуальные машины отклонить?

Answer 1

Экземпляры Compute Engine (или узлы ) в частном кластере изолированы от Интернета и имеют доступ к конечной точке главного сервера API для аутентификации, которая публично предоставляется в Управляемый Google проект. Однако ресурсам вне VPC по умолчанию не разрешено достигать указанной конечной точки.

Основные авторизованные сети используются для предоставления доступа к главному API GKE для внешних сетей / адресов, занесенных в белый список, которые хотят аутентифицироваться на нем. Не связано с запретом связи внутри вычислительных ресурсов в кластере VPC. Для этого вы можете просто использовать правила брандмауэра уровня VPC .

Answer 2

Не контролируется частным кластером.

Это управляется правилами маршрутизации и брандмауэра, настроенными для подсетей vpc. Даже внутри одного и того же vpc вы можете отключить связь между ними, добавив правило.

https://cloud.google.com/vpc/docs/vpc#affiliated_resources