google-kubernetes-engine - 允许在 gke 上的 kubernetes 网络策略中使用的 stackdriver ip 范围

Question

我们在 gke 上运行一些 node.js 代码，并使用 googles @google-cloud/logging-winston 库直接登录到 stackdriver - 日志正在工作，这不是问题。我们还使用 kubernetes 网络策略来限制进出我们的 Pod 的流量。

我无法弄清楚出口策略中允许哪些 IP 范围以使堆栈驱动程序日志记录正常工作。当我允许所有目的地时，日志记录正在工作，但我想缩小一点范围......

Answer 1

我不确定使用 dns 答案是否是一种有效的方法，因为当前的 dns 结果只是事实的一部分。根据我使用的 dns 服务器、我的“挖掘”计算机所在的位置以及我解析 dns 名称的时间，我对同一问题得到不同的答案：

我的电脑使用我的本地解析器：

dig googleapis.com +noall +answer

; <<>> DiG 9.10.6 <<>> googleapis.com +noall +answer
;; global options: +cmd
googleapis.com.     261 IN  A   216.58.207.132

我的电脑使用谷歌的 dns 服务器：

dig @8.8.8.8 googleapis.com +noall +answer

; <<>> DiG 9.10.6 <<>> @8.8.8.8 googleapis.com +noall +answer
; (1 server found)
;; global options: +cmd
googleapis.com.     106 IN  A   172.217.22.196

从在 gke 环境中运行的容器中运行“挖掘”：

 # dig googleapis.com +noall +answer

; <<>> DiG 9.12.4-P2 <<>> googleapis.com +noall +answer
;; global options: +cmd
googleapis.com.     299 IN  A   172.217.16.196

相同的 gke 容器，但大约 10 分钟后：

 # dig googleapis.com +noall +answer

; <<>> DiG 9.12.4-P2 <<>> googleapis.com +noall +answer
;; global options: +cmd
googleapis.com.     299 IN  A   172.217.18.164

这就是为什么我正在寻找一些文档，这就是告诉我有问题的 ip 网......谷歌拥有如此多的 ip 网，只有我的 4 个 dig 命令已经用 4 个不同网络中的 ip 回答了......

Answer 2

可以使用以下命令找到发送堆栈驱动程序日志记录 API 请求的 IP：

dig @8.8.8.8 googleapis.com

结果，您应该获得以下这些 IP：

googleapis.com.         299     IN      A       74.125.141.147
googleapis.com.         299     IN      A       74.125.141.104
googleapis.com.         299     IN      A       74.125.141.103
googleapis.com.         299     IN      A       74.125.141.99
googleapis.com.         299     IN      A       74.125.141.106
googleapis.com.         299     IN      A       74.125.141.105