Создать правило входного брандмауэра для GKE API

В целях тестирования я хочу сделать конечную точку GKE API общедоступной. Однако я не могу создать правило брандмауэра, чтобы разрешить это. я получаю сообщение об ошибке «source_ranges»: конфликтует с «destination_ranges». со следующим кодом терраформирования для его создания.

Любая идея, почему я не могу разрешить интернет-трафик, но фильтровать IP-адрес назначения? Спасибо.

ресурс "google_compute_firewall" "gke_api_allow" {
  name = "gke-${var.cluster_name}-allow-firewall"
  проект = var.project_id
  сеть = google_compute_network.gke_cluster_vpc.name
  description = "Основной брандмауэр, разрешающий трафик к общедоступной конечной точке API кластера GKE."

  приоритет = 9
  направление = "ВХОД"

  позволять {
    порты = [443]
    протокол = "TCP"
  }

  destination_ranges = ["${google_container_cluster.gke_cluster.endpoint}/32"]
  исходные_диапазоны = ["0.0.0.0/0"]

  log_config {
    метаданные = "INCLUDE_ALL_METADATA"
  }
}

Google Kubernetes Engine (GKE) автоматически создает правила брандмауэра в облаке Google.

Предупреждение: не изменяйте и не удаляйте правила брандмауэра, созданные GKE, иначе вы можете столкнуться с неожиданным поведением в своих кластерах.

Приоритет для всех автоматически созданных правил брандмауэра равен 1000, что является значением по умолчанию для правил брандмауэра. Если вы хотите больше контролировать поведение брандмауэра, вы можете создать правила брандмауэра с более высоким приоритетом. Правила брандмауэра с более высоким приоритетом применяются перед автоматически созданными правилами брандмауэра.

GKE создает следующее правило входного брандмауэра при создании службы.

Имя: k8s-fw-[loadbalancer-хэш]

Назначение: Разрешает входному трафику достигать Сервиса.

Источник: указан в манифесте службы. По умолчанию 0.0.0.0/0 (любой источник)

Назначение: Тег узла

Протокол и порты: TCP и UDP на портах, указанных в манифесте службы.

Существует аналогичная проблема с предоставленным обходным путем.