При использовании Istio на EKS, как я могу ограничить IP-адреса в создаваемых правилах группы безопасности?

Question

Я просто настроил Istio на EKS. Я заметил, что контроллер шлюза (это то, что я должен назвать?) Создает ELB и соответствующую группу безопасности, которая разрешает входящий трафик через несколько разных портов:

В настоящее время все эти правила разрешают трафик отовсюду (0.0.0.0/0), но я хотел бы иметь возможность ограничить это своим VPN-сервером. Есть ли способ указать идентификатор группы безопасности (в идеале) или хотя бы IP для этих правил?

Answer 1

Существует способ указать исходный IP-адрес для входящих правил по умолчанию Входного шлюза Istio во время установки / обновления Istio через Helm.

Вы реализуете это, регулируя значения по умолчанию для типа объекта Service, связанного с вашим istio.-ingressgateway pod:

Вот как я делаю это с помощью установки Helm:

1. Установите с помощью helm, используя опцию --set для переопределения значений по умолчанию (здесь значения по умолчанию для «шлюзов»подпункты):

 $ helm install install/kubernetes/helm/istio --name istio-maxi --namespace istio-system \
  --set gateways.istio-ingressgateway.loadBalancerSourceRanges=143.231.0.0/16

Вот итоговые правила входящих сообщений ELB, стоящих перед входным шлюзом Istio, которые можно увидеть в консоли AWS:

Важное примечание:

Поле loadBalancerSourceRanges уже доступно в состоянии Pre-release (1.1.0-snapshot.5) руля Istioдиаграмма