amazon-web-services - 白名单 gitlab webhook
问题描述
我使用 gitlab.com 作为我的存储库,并且在我自己的 AWS VPC 中托管我自己的 gitlab 运行器。这很好,但是,我想通过收紧我的 NACL 来增加一些额外的安全层,只允许 gitlab.com SaaS 访问我的 VPC。
他们自己的文档指出它应该可以工作,并列出了他们和 cloudflare 使用的一些 IP 范围。但是,它仍然无法正常工作。很明显,它是 NACL,因为0.0.0.0/0
在入站中简单地添加 as 和 allow 就可以使 runner 作业按预期完成。但是,删除0.0.0.0/0
并只允许下面列出的 ip 会使 gitlab 作业卡住,并且它的行为就像没有建立连接一样。
34.74.226.0/24
34.74.90.64/28
173.245.48.0/20
103.21.244.0/22
103.22.200.0/22
103.31.4.0/22
141.101.64.0/18
108.162.192.0/18
190.93.240.0/20
188.114.96.0/20
197.234.240.0/22
198.41.128.0/17
162.158.0.0/15
104.16.0.0/13
104.24.0.0/14
172.64.0.0/13
131.0.72.0/22
2400:cb00::/32
2606:4700::/32
2803:f800::/32
2405:b500::/32
2405:8100::/32
2a06:98c0::/29
2c0f:f248::/32
在将所有这些范围作为入站规则添加到我的 NACL 之后。它仍然无法在没有允许的情况下连接0.0.0.0/0
。
附加信息
这是我的 VPC 设置的概述:
公共子网 NACL 在入站连接上的所有协议的所有端口上具有上面列出的所有允许的 ip。出站当前设置为 0.0.0.0/0。
私有子网允许 0.0.0.0/0 用于入站和出站。
解决方案
我似乎已经解决了这个问题。问题是我没有在 NACL 中为本地连接添加允许。因此,私有子网无法连接到 NAT 网关。
推荐阅读
- go - Go Timer 停止时死锁
- json - 从 Flutter 中的 Json 错误解析 DateTime
- javascript - 根据 GPS 位置之间的距离过滤对象数组(javascript)
- sql - 巩固我的年和月以获得每个客户、每个月、每年的总数量的方法
- java - Kafka Streams KStream 转换
- vba - 有没有办法在 VBE 窗口处于活动状态时定义快捷键(例如 Ctrl-Y)来启动 VBA 子/宏?
- git - subtree-remote 的 git push 推送了整个 repo,如何撤消?
- android - “CameraDevice”不包含“CameraDirection”的定义
- google-data-studio - 将数据拉入过滤器或新字段
- ansible - 循环打印ip地址