Служба Google Kubernetes Engine loadBalancerSourceRanges не разрешает соединение по диапазону IP

Question

Я представляю приложение, запущенное на кластере GKE, используя сервис LoadBalancer. По умолчанию LoadBalancer создает правило в брандмауэре Google VPC с диапазоном IP-адресов 0.0.0.0/0. Благодаря этой конфигурации я могу подключиться к службе в любых ситуациях.

Я использую сервер OpenVPN в сети по умолчанию, чтобы предотвратить внешний доступ к экземплярам GCE в определенном диапазоне IP-адресов. Изменив значение .yaml file loadBalancerSourceRanges службы, чтобы оно соответствовало диапазону IP-адресов моего VPN-сервера, я ожидал, что смогу подключаться к приложению Kubernetes при подключении к VPN, но не иначе. Это обновило правило брандмауэра Google VPN с диапазоном, который я ввел в файл .yaml, но не позволил мне подключиться к конечной точке службы. Кластер Kubernetes расположен в той же сети, что и сервер OpenVPN. Есть ли какая-то дополнительная конфигурация, которую нужно использовать, кроме установки loadBalancerSourceRanges для желаемого входящего IP-диапазона для услуги?

Answer 1

Вы не упомянули версию этого кластера GKE; однако, может быть полезно знать, что, начиная с Kubernetes версии 1.9.x, правила автоматического брандмауэра изменились так, что рабочие нагрузки в вашем кластере Google Kubernetes Engine не могут обмениваться данными с другими виртуальными машинами Compute Engine, которые находятся в той же сети, но за пределами кластера. , Это изменение было сделано по соображениям безопасности. Вы можете повторить поведение старых кластеров (1.8.x и более ранних), установив новое правило брандмауэра в вашем кластере. Вы можете увидеть это уведомление в примечаниях к выпуску, опубликованных в официальной документации