Внутренний балансировщик нагрузки для мультирегионального общего сервиса vpc gke

Question

Я следовал руководству здесь , чтобы создать общий виртуальный частный компьютер и создать пару кластеров в этом виртуальном частном компьютере. В руководстве объясняется использование внутренних балансировщиков нагрузки для связи между службами в разных кластерах, однако в соответствии с документами :

Внутренняя балансировка нагрузки создает частный (RFC 1918) LoadBalancer Входящий IP-адрес в кластере для приема трафика в сети в той же вычислительной области из диапазона IP-адресов в подсети пользователя.

Как я могу облегчить получение трафика от моего vpc, но из другого вычислительного региона? Для контекста я настраиваю федеративный прометей, чтобы у меня была одна стеклянная панель, чтобы увидеть все метрики. Поскольку prometheus не предоставляет никаких механизмов аутентификации, я хочу разрешить трафик только внутри vpc и не делать его общедоступным.

Answer 1

Чтобы внедрить внутренний межрегиональный балансировщик нагрузки, обеспечивающий доступ к ресурсам GKE:

• Создание службы типа LoadBalancer.
• Настройте брандмауэр облачного провайдера , чтобы ограничить доступ к вашему VPC.

Вашей службе будет присвоен внешний IP-адрес, но брандмауэры будут блокировать трафик, кроме как из внутренних источников.

apiVersion: v1
kind: Service
metadata:
  name: my-service
spec:
  type: LoadBalancer
  loadBalancerSourceRanges:
  - 10.0.0.0/8

РЕДАКТИРОВАТЬ: вышеуказанное решение не совсем работает; На самом деле loadBalancerSourceRanges применяются к внешним IP-адресам исходного модуля, а не к внутренним IP-адресам. Это означает, что вам потребуется использовать Cloud NAT для получения стабильного IP-адреса и использовать его в YAML в дополнение к 10.0.0.0/8

.

Answer 2

Если это для федерации Прометея, просто используйте Ingress с базовой аутентификацией для опроса / федерации с вашего основного Прометея.