このページでは、GKE on AWS のファイアウォール要件と VPC エンドポイント要件を示します。
ファイアウォール要件
GKE on AWS を使用するには、クラスタに次のドメインへのアクセスを許可する必要があります。
.gcr.io
cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
oauth2.googleapis.com
securetoken.googleapis.com
storage.googleapis.com
sts.googleapis.com
www.googleapis.com
servicecontrol.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
opsconfigmonitoring.googleapis.com
GCP_LOCATION-gkemulticloud.googleapis.com
GCP_LOCATION は、GKE Enterprise クラスタが存在する Google Cloud リージョンに置き換えます。us-west1 または別のサポート対象リージョンを指定します。
VPC エンドポイント
VPC エンドポイントを使用すると、プライベート サブネット内のリソースから、公衆インターネット アクセスなしで AWS サービスにアクセスできます。
次の表に、GKE on AWS で VPC エンドポイントを必要とする AWS サービスと、エンドポイントのタイプ、エンドポイントへのアクセス権が必要なセキュリティ グループを示します。
| サービス | エンドポイントのタイプ | セキュリティ グループ |
|---|---|---|
| 自動スケーリング | インターフェース | コントロール プレーン、ノードプール |
| EC2 | インターフェース | コントロール プレーン、ノードプール |
| EFS | インターフェース | コントロール プレーン |
| ロード バランシング | インターフェース | コントロール プレーン、ノードプール |
| 鍵管理サービス | インターフェース | コントロール プレーン、ノードプール |
| S3 | ゲートウェイ | コントロール プレーン、ノードプール |
| Secret Manager | インターフェース | コントロール プレーン、ノードプール |
| セキュリティ トークン サービス(STS) | インターフェース | コントロール プレーン、ノードプール |
エンドポイントは AWS VPC Console から作成できます。VPC エンドポイントの作成時に設定するオプションは VPC 構成によって異なります。
次のステップ
- GKE クラスタにプロキシを使用する。