int*_*cho 7 google-cloud-platform gke-networking
GCP网络标签可以应用于虚拟机(也可能应用于 GKE 节点池)。然后防火墙规则可以针对这些资源。它们只有名称,没有值。
另一方面,标签更像标签,因为它们具有键名称和值。例如[环境=生产]
官方文档描述了标签和标签之间的区别。
标签提供了一种根据资源是否具有特定标签有条件地允许或拒绝策略的方法。您可以使用标签和有条件执行策略来跨资源层次结构进行细粒度控制
但没有具体提及防火墙规则。
如果我将标签应用于资源,我可以编写防火墙规则来定位这些资源(假设它们是可定位的网络目标)
使用版本 1.23.5-gke.150 的 GKE,集群可以应用标签。这些可以用作网络标签吗?
小智 10
这很令人困惑,但 Tag、Network_Tags 和 Labels 是 3 个不同的东西。他们彼此分开工作。
标签非常简单。它们是元数据键/值,可以分配给 Google Cloud 中的几乎任何资源。您不能使用它们来执行策略。它们对于组织资源和识别什么属于谁(哪些资源属于哪个个人、团队、业务部门......)很有用。标签最常见的用途是计费,当您导出计费数据时,标签也会被导出,它们可用于确定谁消费了什么以进行退款。
Network_Tags与 VM 一起使用有两个主要原因。A) 执行防火墙规则和 B) 路由。它们不是键/值,而是一串字符,您可以将其分配给虚拟机并根据这些值创建防火墙规则。它们使防火墙和路由管理变得更加容易。
标签不同,它们本身就是一种资源。正如您可以创建/删除/更新它们一样,您还可以分配 IAM 角色以允许人们管理标签。它们的主要用途是细粒度 IAM 控制,您可以创建键/值标签,将其分配给支持标记的资源,并根据条件使用 IAM 来实施复杂的 IAM 规则。这是一个例子
我希望这能澄清这一点。
| 归档时间: |
|
| 查看次数: |
1250 次 |
| 最近记录: |