как добавить правило брандмауэра в службу gke? - PullRequest
0 голосов
/ 24 ноября 2018

Мне не понятно, как это сделать.

Я создаю службу для своего кластера следующим образом:

kubectl expose deployment my-deployment --type=LoadBalancer --port 8888 --target-port 8888

И теперь моя служба доступна из Интернета через порт 8888.Но я не хочу этого, я хочу сделать свой сервис доступным только из списка определенных публичных IP-адресов.Как применить правило брандмауэра gcp к определенной службе?Непонятно, как это работает и почему по умолчанию сервис доступен публично из Интернета.

Ответы [ 3 ]

0 голосов
/ 25 ноября 2018

, поскольку балансировщик нагрузки находится в вашей сети, вы можете создать входящее правило брандмауэра , чтобы запретить или разрешить любой исходный IP-адрес с "тегом" (при условии, что выавторизованный IP), после того как вы создадите свой тег брандмауэра в своем кластере шаблон экземпляра , который вы кластеризуете группа экземпляров , используя его изменение, добавив в него тег и выполнив обновление в группе экземпляровВ этом случае все кластеры вашего узла будут иметь тег для ограничения некоторых IP-адресов.

Вы также можете обратиться к Ограничить доступ для службы LoadBalancer для большего контроля.

0 голосов
/ 25 ноября 2018

loadBalancerSourceRanges, кажется, работает, а также обновляет динамически созданные правила брандмауэра GCE для службы

apiVersion: v1
kind: Service
metadata:
  name: na-server-service
spec:
  type: LoadBalancer
  ports:
  - protocol: TCP
    port: 80
    targetPort: 80
  loadBalancerSourceRanges:
  - 50.1.1.1/32
0 голосов
/ 25 ноября 2018

Я не думаю, что это в настоящее время поддерживается сервисами LoadBalancer.Вы можете найти аннотации, которые в настоящее время считываются поставщиком услуг GCE GLB по адресу https://github.com/kubernetes/kubernetes/blob/1e50c5711346e882a54e833a9931af9678af7a82/pkg/cloudprovider/providers/gce/gce_annotations.go#L35,, в настоящее время он просто устанавливает тип LoadBalancer, режим совместного использования и уровень SLA сети.

Вы можете сделать этот видфильтрация с некоторыми контроллерами Ingress, но я не думаю, что это включает в себя ingress-gce прямо сейчас, так что было бы несколько забавно настроить.

...