本頁列出 GKE on AWS 的防火牆規定和 VPC 端點規定。
防火牆需求
如要在 AWS 上使用 GKE,您必須允許叢集存取下列網域。
.gcr.io
cloudresourcemanager.googleapis.com
container.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
oauth2.googleapis.com
securetoken.googleapis.com
storage.googleapis.com
sts.googleapis.com
www.googleapis.com
servicecontrol.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
opsconfigmonitoring.googleapis.com
GCP_LOCATION-gkemulticloud.googleapis.com
將 GCP_LOCATION 替換為 GKE Enterprise 叢集所在的 Google Cloud 區域。指定 us-west1 或其他支援的區域。
虛擬私有雲端點
虛擬私有雲端點可讓私有子網路中的資源存取 AWS 服務,不必連上公開網路。
下表列出 GKE on AWS 需要虛擬私有雲端端點的 AWS 服務,以及端點類型和需要存取端點的安全群組。
| 服務 | 端點類型 | 安全性群組 |
|---|---|---|
| 自動調度資源 | 介面 | 控制層、節點集區 |
| EC2 | 介面 | 控制層、節點集區 |
| EFS | 介面 | 控制層 |
| 負載平衡 | 介面 | 控制層、節點集區 |
| Key Management Service | 介面 | 控制層、節點集區 |
| S3 | 閘道 | 控制層、節點集區 |
| Secrets Manager | 介面 | 控制層、節點集區 |
| 安全性權杖服務 (STS) | 介面 | 控制層、節點集區 |
您可以透過 AWS VPC 控制台建立端點。建立虛擬私有雲端端點時設定的選項,取決於虛擬私有雲端設定。