本页面列出了 GKE on AWS 的防火墙要求和 VPC 端点要求。
防火墙要求
如需使用 GKE on AWS,您必须允许集群访问以下网域。
.gcr.io
cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
oauth2.googleapis.com
securetoken.googleapis.com
storage.googleapis.com
sts.googleapis.com
www.googleapis.com
servicecontrol.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
opsconfigmonitoring.googleapis.com
GCP_LOCATION-gkemulticloud.googleapis.com
将 GCP_LOCATION 替换为您的 GKE Enterprise 集群所在的 Google Cloud 区域。请指定 us-west1 或其他受支持的区域。
VPC 端点
通过 VPC 端点,专用子网中的资源无需公共互联网访问权限即可访问 AWS 服务。
下表列出了 GKE on AWS 需要 VPC 端点的 AWS 服务,以及端点类型和需要有权访问端点的安全群组。
| 服务 | 端点类型 | 安全组 |
|---|---|---|
| 自动扩缩 | 界面 | 控制平面、节点池 |
| EC2 | 界面 | 控制平面、节点池 |
| EFS | 接口 | 控制平面 |
| 负载均衡 | 界面 | 控制平面、节点池 |
| 密钥管理服务 | 界面 | 控制平面、节点池 |
| S3 | 网关 | 控制平面、节点池 |
| Secrets Manager | 界面 | 控制平面、节点池 |
| Security Token Service (STS) | 界面 | 控制平面、节点池 |
您可以从 AWS VPC 控制台创建端点。您在创建 VPC 端点时设置的选项取决于您的 VPC 配置。
后续步骤
- 为您的 GKE 集群使用代理。