白名单 gitlab webhooks
Whitelist gitlab webhooks
我使用 gitlab.com 作为我的存储库,我在 AWS 中我自己的 VPC 中托管我自己的 gitlab runner。这工作正常,但是,我想通过收紧我的 NACL 以仅允许 gitlab.com SaaS 到达我的 VPC 来添加一些额外的安全层。
他们自己的 documentation 声明它应该可以工作,并列出了他们和 cloudflare 使用的几个 ip 范围。但是,它仍然无法正常工作。很明显,它是 NACL,因为只需在入站中添加 0.0.0.0/0 as 和 allow 即可使运行器作业按预期完成。但是,删除 0.0.0.0/0 并只允许下面列出的 ip 会使 gitlab 作业卡住,并且它的行为就好像没有建立连接一样。
34.74.226.0/24
34.74.90.64/28
173.245.48.0/20
103.21.244.0/22
103.22.200.0/22
103.31.4.0/22
141.101.64.0/18
108.162.192.0/18
190.93.240.0/20
188.114.96.0/20
197.234.240.0/22
198.41.128.0/17
162.158.0.0/15
104.16.0.0/13
104.24.0.0/14
172.64.0.0/13
131.0.72.0/22
2400:cb00::/32
2606:4700::/32
2803:f800::/32
2405:b500::/32
2405:8100::/32
2a06:98c0::/29
2c0f:f248::/32
将所有这些范围作为入站规则添加到我的 NACL 之后。它仍然无法在不允许 0.0.0.0/0.
的情况下连接
附加信息
下面是我的 VPC 设置的概述:
public 子网 NACL 在入站连接的所有协议的所有端口上具有上面列出的所有允许的 ip。出站目前设置为0.0.0.0/0.
私有子网允许 0.0.0.0/0 用于入站和出站。
我似乎已经解决了这个问题。问题是我没有在 NACL 中为本地连接添加允许。因此私有子网无法连接到 NAT 网关。
我使用 gitlab.com 作为我的存储库,我在 AWS 中我自己的 VPC 中托管我自己的 gitlab runner。这工作正常,但是,我想通过收紧我的 NACL 以仅允许 gitlab.com SaaS 到达我的 VPC 来添加一些额外的安全层。
他们自己的 documentation 声明它应该可以工作,并列出了他们和 cloudflare 使用的几个 ip 范围。但是,它仍然无法正常工作。很明显,它是 NACL,因为只需在入站中添加 0.0.0.0/0 as 和 allow 即可使运行器作业按预期完成。但是,删除 0.0.0.0/0 并只允许下面列出的 ip 会使 gitlab 作业卡住,并且它的行为就好像没有建立连接一样。
34.74.226.0/24
34.74.90.64/28
173.245.48.0/20
103.21.244.0/22
103.22.200.0/22
103.31.4.0/22
141.101.64.0/18
108.162.192.0/18
190.93.240.0/20
188.114.96.0/20
197.234.240.0/22
198.41.128.0/17
162.158.0.0/15
104.16.0.0/13
104.24.0.0/14
172.64.0.0/13
131.0.72.0/22
2400:cb00::/32
2606:4700::/32
2803:f800::/32
2405:b500::/32
2405:8100::/32
2a06:98c0::/29
2c0f:f248::/32
将所有这些范围作为入站规则添加到我的 NACL 之后。它仍然无法在不允许 0.0.0.0/0.
附加信息
下面是我的 VPC 设置的概述:
public 子网 NACL 在入站连接的所有协议的所有端口上具有上面列出的所有允许的 ip。出站目前设置为0.0.0.0/0.
私有子网允许 0.0.0.0/0 用于入站和出站。
我似乎已经解决了这个问题。问题是我没有在 NACL 中为本地连接添加允许。因此私有子网无法连接到 NAT 网关。