组织政策|restrictVpcPeering和kubernetes

6qqygrtg 于 2023-11-17 发布在 Kubernetes

关注(0)|答案(2)|浏览(112)

我希望在整个组织内拒绝VPC对等连接。目前它是通过组织策略constraints/compute.restrictVpcPeering设置为拒绝所有来实现的。
不幸的是，作为通过共享vpc创建kubernetes集群的一部分，在google端有一些对等操作（根据this）。我想放弃我的限制，这样那些就可以被允许了，但是我还没有找到只允许那些的方法。
GCP侧子网的资源路径如下：

network projects/gke-prod-europe-west3-XXXX/global/networks/gke-ndaXXXXXYYYYYZZZZ-ZZZZ-YYY-net

字符串
其中XYZ是随机的。
一开始我想使用under: notation来允许所有与under:projects/gke-prod-europe-west3-*中的网络的对等连接，但看起来under:projects/gke-prod-europe-west3-*不支持这种格式。
是否有已知的organization_id，谷歌k8s资源属于？或者有其他方式，我失踪？
原始错误：

Constraint constraints/compute.restrictVpcPeering violated for project 1234567890. Peering the network projects/gke-prod-europe-west3-XXXX/global/networks/gke-ndaXXXXXYYYYYZZZZ-ZZZZ-YYY-net is not allowed.

型

kubernetes

来源：https://stackoverflow.com/questions/68481072/organisation-policies-restrictvpcpeering-and-kubernetes

2条答案

按热度按时间

arknldoa1#

你不能使用任何字符串;你需要通过名称一个接一个地指定项目id-没有其他方法。
如果您查看了“特定服务的约束”文档：
此列表约束定义允许与属于此项目、文件夹或组织的VPC网络对等的VPC网络集。默认情况下，一个网络的网络管理员可以与任何其他网络对等。允许/拒绝的网络列表必须以以下格式标识：under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID、under:projects/PROJECT_ID或projects/PROJECT_ID/global/networks/NETWORK_NAME。constraints/compute.restrictVpcPeering
但是，您可以通过在IssueTracker上提出新问题来请求实现此功能。

赞(0）回复(0）举报 2023-11-17

lpwwtiir2#

从这个Medium post我会添加以下允许的文件夹：

# Required for the use of Cloud SQL
- under:folders/1087601843002  # google.com/products/speckle/
# Required if projects use GKE private clusters.
- under:folders/391150242170  # google.com/tenancy-units/gke/prod

字符串

赞(0）回复(0）举报 2023-11-17

我来回答

组织政策|restrictVpcPeering和kubernetes

2条答案

相关问题

热门标签

最新问答