问题描述
我想创建一个堡垒主机来管理 GCP 上的私有 GKE 集群。
流程应该是:
User -> (SSH via IAP) -> bastion -> (gke control-plane) -> cluster
对于这两种资源,为了保证最小权限的原则,我想从头开始创建和配置两个服务帐户。
对于范围和角色的最佳设置,您有什么建议吗?
解决方法
为了更好地了解如何处理用于生产目的的 GKE 集群,我建议查看此 article,特别是专用于私有集群的部分 其中提到了使用 VPC Service Controls 的替代方案,它可以帮助您降低数据泄露的风险。