диапазон IP-адресов stackdriver, чтобы разрешить сетевую политику kubernetes на gke

Мы запускаем некоторый код node.js на gke и напрямую регистрируемся в stackdriver, используя библиотеку googles @google-cloud/logging-winston — ведение журнала работает, это не проблема. Мы также используем сетевые политики kubernetes для ограничения трафика в/из наших модулей.

Я не могу понять, какие диапазоны IP-адресов разрешены в политике выхода, чтобы ведение журнала стека работало. Когда я разрешаю все пункты назначения, ведение журнала работает, но я хотел бы немного сузить его...


google-kubernetes-engine kubernetes-networkpolicy stackdriver
person Mizaru    schedule 07.08.2019    source источник
comment
Я бы предложил разрешить все направления. Причина в том, что даже если вы можете получить диапазоны для googleapis.com, диапазоны могут измениться. Кроме того, GCP не публикует диапазоны IP-адресов для каждого API.   -  person Jason    schedule 19.09.2019

Ответы (2)


arrow_upward
0
arrow_downward

IP-адреса, на которые отправляются запросы API ведения журнала стека, можно найти с помощью этой команды:

dig @8.8.8.8 googleapis.com

В результате вы должны получить следующие IP-адреса:

googleapis.com.         299     IN      A       74.125.141.147
googleapis.com.         299     IN      A       74.125.141.104
googleapis.com.         299     IN      A       74.125.141.103
googleapis.com.         299     IN      A       74.125.141.99
googleapis.com.         299     IN      A       74.125.141.106
googleapis.com.         299     IN      A       74.125.141.105
person Milad Tabrizi    schedule 07.08.2019

arrow_upward
0
arrow_downward

Я не уверен, что использование ответов DNS является допустимым подходом, поскольку текущий результат DNS является лишь частью правды. в зависимости от DNS-сервера, который я использую, места, где находится мой «копающий» компьютер, и времени, когда я разрешаю имя DNS, я получаю разные ответы на один и тот же вопрос:

мой компьютер, используя мой локальный преобразователь:

dig googleapis.com +noall +answer

; <<>> DiG 9.10.6 <<>> googleapis.com +noall +answer
;; global options: +cmd
googleapis.com.     261 IN  A   216.58.207.132

мой компьютер с помощью DNS-сервера Google:

dig @8.8.8.8 googleapis.com +noall +answer

; <<>> DiG 9.10.6 <<>> @8.8.8.8 googleapis.com +noall +answer
; (1 server found)
;; global options: +cmd
googleapis.com.     106 IN  A   172.217.22.196

запуск «dig» из контейнера, работающего в среде gke:

 # dig googleapis.com +noall +answer

; <<>> DiG 9.12.4-P2 <<>> googleapis.com +noall +answer
;; global options: +cmd
googleapis.com.     299 IN  A   172.217.16.196

тот же контейнер gke, но примерно через 10 минут:

 # dig googleapis.com +noall +answer

; <<>> DiG 9.12.4-P2 <<>> googleapis.com +noall +answer
;; global options: +cmd
googleapis.com.     299 IN  A   172.217.18.164

Вот почему я ищу некоторую документацию, которая говорит мне о рассматриваемых IP-сетях ... Google владеет таким количеством IP-сетей, и только мои 4 команды dig уже ответили с IP-адресами из 4 разных сетей ...

person Mizaru    schedule 08.08.2019