как добавить правило брандмауэра в службу gke?

Question

Мне не понятно, как это сделать.

Я создаю службу для своего кластера следующим образом:

kubectl expose deployment my-deployment --type=LoadBalancer --port 8888 --target-port 8888

И теперь моя служба доступна из Интернета через порт 8888.Но я не хочу этого, я хочу сделать свой сервис доступным только из списка определенных публичных IP-адресов.Как применить правило брандмауэра gcp к определенной службе?Непонятно, как это работает и почему по умолчанию сервис доступен публично из Интернета.

Answer 1

, поскольку балансировщик нагрузки находится в вашей сети, вы можете создать входящее правило брандмауэра , чтобы запретить или разрешить любой исходный IP-адрес с "тегом" (при условии, что выавторизованный IP), после того как вы создадите свой тег брандмауэра в своем кластере шаблон экземпляра , который вы кластеризуете группа экземпляров , используя его изменение, добавив в него тег и выполнив обновление в группе экземпляровВ этом случае все кластеры вашего узла будут иметь тег для ограничения некоторых IP-адресов.

Вы также можете обратиться к Ограничить доступ для службы LoadBalancer для большего контроля.

Answer 2

loadBalancerSourceRanges, кажется, работает, а также обновляет динамически созданные правила брандмауэра GCE для службы

apiVersion: v1
kind: Service
metadata:
  name: na-server-service
spec:
  type: LoadBalancer
  ports:
  - protocol: TCP
    port: 80
    targetPort: 80
  loadBalancerSourceRanges:
  - 50.1.1.1/32

Answer 3

Я не думаю, что это в настоящее время поддерживается сервисами LoadBalancer.Вы можете найти аннотации, которые в настоящее время считываются поставщиком услуг GCE GLB по адресу https://github.com/kubernetes/kubernetes/blob/1e50c5711346e882a54e833a9931af9678af7a82/pkg/cloudprovider/providers/gce/gce_annotations.go#L35,, в настоящее время он просто устанавливает тип LoadBalancer, режим совместного использования и уровень SLA сети.

Вы можете сделать этот видфильтрация с некоторыми контроллерами Ingress, но я не думаю, что это включает в себя ingress-gce прямо сейчас, так что было бы несколько забавно настроить.