问题描述
我正在使用 terraform 模板来配置 Google Cloud Dataproc 集群。之后,我将创建防火墙规则来限制进入这些计算引擎实例的流量。
我正在寻找一种方法来自动创建防火墙规则以及 dataproc 集群。好像没有什么直截了当的方法,不得不提到防火墙规则里的IP,只能通过查看创建的集群来获取。
我想到的另一种方法是创建一个具有安全性的 VPC,并在该 VPC 内创建 dataproc 集群。
谁能就此提供任何专家建议?
解决方法
除了按 IP 过滤之外,GCP 防火墙规则还支持按标签 1 或服务帐户 2 过滤。创建 Dataproc 集群时,您可以使用 --tags 3 为集群 VM 添加标签,或者使用 --service-account 4 指定集群 VM 使用的服务帐户,以便它们防火墙规则可以使用它来定位集群虚拟机。
请注意防火墙规则中按标签过滤和按服务帐户过滤之间的含义。简单来说,前者更简单,后者更安全。
