Копс взаимодействия между vpc с внутренней конфигурацией

Question

Моя цель - развернуть кластер в AWS в каком-то частном VPC (скажем, A) и обеспечить пиринговое соединение с другим VPC (скажем, B). Основная идея в том, что доступ к k8s должен быть доступен только из VPC B. Насколько я понимаю, я должен создать частный кластер топологии с внутренним балансировщиком нагрузки. Например:

kops create cluster --name=$cluster --state=$state --zones=$zones --topology=private --networking=weave --api-loadbalancer-type=internal

Но, к сожалению, копы помещают балансировщик нагрузки api в частную подсеть, поэтому делают его недоступным для других VPC. Если я сделаю это общедоступным

kops create cluster --name=$cluster --state=$state --zones=$zones --topology=private --networking=weave --api-loadbalancer-type=public

Копы создадут видимый в Интернете балансировщик нагрузки API, и я хочу избежать этого для безопасности. Кто-нибудь знает, возможно ли реализовать такое решение с помощью копов?

Answer 1

Балансировщик нагрузки направляет трафик на модули, которые вы используете внутри кластера. Так что если вы хотите, чтобы модули были подвержены внешнему трафику, то то, что вы делаете, работает.

Если вы хотите ограничить доступ к API-интерфейсу кластера, который используется для управления кластером, используйте флаг --admin-access, это ограничит доступ API к предоставленному CIDR. Если не установлен, доступ не будет ограничен IP. (по умолчанию [0.0.0.0/0])