Я запускаю Google Kubernetes Engine с опцией "private-cluster". Я также определил "авторизованную основную сеть", чтобы иметь возможность удаленного доступа к среде - это работает отлично. Теперь я хочу настроить какой-то конвейер CI/CD с помощью Google Cloud Build - после успешного создания нового изображения докеры это новое изображение должно быть автоматически развернуто в GKE. Когда я впервые был запущен из нового конвейера, развертывание в GKE завершилось неудачно - сообщение об ошибке было похоже на: "Не удалось подключиться к серверу: наберите tcp xxx.xxx.xxx.xxx:443: i/o timeout". Поскольку у меня была опция "авторизованных основных сетей" под подозрением в качестве основной причины таймаута соединения, я добавил 0.0.0.0/0 в разрешенные сети и снова начал работу с облачным сборщиком - на этот раз все прошло хорошо и после образ докера был создан, он был развернут в GKE. Хорошо.
Единственная проблема, которая остается в том, что я действительно не хочу, чтобы весь интернет мог получить доступ к моему мастеру Kubernetes - это плохая идея, не так ли?
Есть ли более элегантные решения для сужения доступа с помощью разрешенных мастер-сетей, а также возможность развертывания через облачную сборку?