Пример кастомного ресурса GCPInstanceClass
Ниже представлен простой пример конфигурации кастомного ресурса GCPInstanceClass
:
apiVersion: deckhouse.io/v1
kind: GCPInstanceClass
metadata:
name: test
spec:
machineType: n1-standard-1
Настройка политик безопасности на узлах
На виртуальных машинах кластера в GCP может возникнуть необходимость ограничить или расширить входящий и исходящий трафик по различным причинам. Некоторые из них могут включать:
- Разрешение подключения к узлам кластера с виртуальных машин из другой подсети.
- Разрешение подключения к портам статического узла для работы приложения.
- Ограничение доступа к внешним ресурсам или другим виртуальным машинам в облаке по требованию службы безопасности.
Для всего этого необходимо применять дополнительные network tags.
Установка дополнительных network tags на статических и master-узлах
Данный параметр можно задать либо при создании кластера или в уже существующем кластере. В обоих случаях дополнительные network tags указываются в GCPClusterConfiguration
:
- для master-узлов — в секции
masterNodeGroup
в полеadditionalNetworkTags
; - для статических узлов — в секции
nodeGroups
в конфигурации, описывающей соответствующую nodeGroup, в полеadditionalNetworkTags
.
Поле additionalNetworkTags
содержит массив строк с именами network tags.
Установка дополнительных network tags на эфемерных узлах
Необходимо указать параметр additionalNetworkTags
для всех GCPInstanceClass
в кластере, которым нужны дополнительные network tags.