Есть ли фиксированный диапазон или шаблон в IP-адресе источника конечной точки APIGEE?Это статично или меняется?

Question

Я настраиваю балансировщик нагрузки в Kubernetes, который разрешит доступ только авторизованным IP-адресам.Я рассматриваю APIGEE для использования уровня абстракции для управления всеми проверками подлинности, ограничением скорости и другими фильтрами до того, как клиентский запрос достигнет балансировщика нагрузки или конечной точки службы.

Я понимаю, что при использовании ' Политика контроля доступа ' в Apigee. Я могу ограничить доступ конечной точки Apigee только авторизованным IP-адресам.Поэтому я хочу разрешить трафик ONLY в сервисе Kubernetes (или балансировщике нагрузки), который проходит через конечную точку Apigee.Короче говоря, добавление IP конечных точек Apigee в авторизованных сетях в балансировщике нагрузки является идентичным решением, которое я рассматриваю в данный момент.

Я просмотрел несколько статей и вопросов, и я до сих порне уверен, является ли IP-адрес конечной точки Apigee (с которого запросы отправляются в балансировщик нагрузки Kubernetes) статическим, и как его выяснить.Я попытался отправить curl -v и получил публичный IP-адрес конечной точки, который также можно получить из https://ipinfo.info/html/ip_checker.php

Подводя итог, вот мои вопросы:
1.IP-адрес, с которого APIGEE отправляет запрос конечной точке, является фиксированным или изменяется?Если изменения, как часто?
2. Есть ли фиксированный диапазон IP-адресов для каждого прокси в APIGEE?

Answer 1

Поскольку я нахожу это простым законченным вопросом.Ответом на это будет «Да, IP источника Apigee может измениться».
Предполагается, что частота изменений будет действительно низкой, но в редких случаях IP-адрес может измениться.

Использование двусторонней TLS может быть лучшим решением проблемы, которую вы описали, чем белый список IP-адресов.

Подробнее о том, как мы можем настроить двустороннюю TLS между Apigee Edge и Backend Server, можноможно найти здесь .

Answer 2

Размещение того же вопроса в сообществе Apigee помогло мне сделать вывод, что IP-адреса, назначенные прокси-серверу Apigee, могут быть изменены.Это редкий случай, когда это происходит, но они исчезают, только если что-то пойдет не так с одним из связанных аппаратных компьютеров в облачном центре обработки данных.Это происходит менее одного раза в год, и это никогда не запланированное изменение.

Следовательно, использование белого списка IP-адресов в брандмауэре бэкэнда для разрешения запросов только через прокси-сервер Apigee Edge не является лучшим решением.Двухсторонний TLS - лучший подход для защиты серверной службы с включенной аутентификацией клиента.

Здесь - ссылка на вопрос на community.apigee.com