Пример кастомного ресурса GCPInstanceClass

Ниже представлен простой пример конфигурации кастомного ресурса GCPInstanceClass:

apiVersion: deckhouse.io/v1
kind: GCPInstanceClass
metadata:
  name: test
spec:
  machineType: n1-standard-1

Настройка политик безопасности на узлах

На виртуальных машинах кластера в GCP может возникнуть необходимость ограничить или расширить входящий и исходящий трафик по различным причинам. Некоторые из них могут включать:

  • Разрешение подключения к узлам кластера с виртуальных машин из другой подсети.
  • Разрешение подключения к портам статического узла для работы приложения.
  • Ограничение доступа к внешним ресурсам или другим виртуальным машинам в облаке по требованию службы безопасности.

Для всего этого необходимо применять дополнительные network tags.

Установка дополнительных network tags на статических и master-узлах

Данный параметр можно задать либо при создании кластера или в уже существующем кластере. В обоих случаях дополнительные network tags указываются в GCPClusterConfiguration:

  • для master-узлов — в секции masterNodeGroup в поле additionalNetworkTags;
  • для статических узлов — в секции nodeGroups в конфигурации, описывающей соответствующую nodeGroup, в поле additionalNetworkTags.

Поле additionalNetworkTags содержит массив строк с именами network tags.

Установка дополнительных network tags на эфемерных узлах

Необходимо указать параметр additionalNetworkTags для всех GCPInstanceClass в кластере, которым нужны дополнительные network tags.