前言：

• GCP建立防火牆規則

GCP建立防火牆規則

• 建立起叢集時系統會自動產生防火牆規則其中會包含三個部分如下，以及loadbalance service系統也會生成對應防火牆規則

  1. master IP allow 此IP所屬cluster master node端點IP
  2. VM IP allow IP 他會是該VPC網段的IP範圍
  3. pod service allow IP 所有服務pod的產生都會是該網段

• 如何設定防火牆規則

  • 選擇VPC網路設定優先權在GCP中防火牆權限越高數值越低
  • 選擇拒絕或允許（黑白名單）以及流向
  • GCP提供一個方便得方式設定該VM的防火牆規則就是可以設定tag目標標記去實踐一對多的目標標的機器
  • 最後就是選擇要設定的IP範圍port號

• 前面說的的設定在Istio上有一點需要注意，在Istio1.5.X以上版本由於需要依附istio proxy注入在建立起的cluster master 防火牆規則上需要開啟tcp:15017tcp:9443 這兩個port在可以運行（這邊有點小小踩雷雖然說不是什麼高級設定但若使用GCP建立會頓時不知道哪邊出了錯呢～）

• 這邊提一下GCP上是有不受防火牆控制的那就是如果你使用的是Ingress kind yaml實踐對外部的接口時，此對外規則將不受防火牆規則所控制，此時需要使用GCP上cloud armor管控唷。

結語：

• 建立GCP K8S一定會伴隨的設定防火牆規則這也是很重要的一個環節GCP提供很不錯的設定方式。