Ограничения доступа при использовании Gcloud vpn с Kubernetes

Question

Это мой первый вопрос по переполнению стека:

Мы используем Gcloud Kubernetes.

Заказчик специально запросил VPN-туннель для очистки одной службы в нашем кластере (я знаю, что вход больше подходит для этого).

Поскольку VPN основана на IP, и Kubernetes меняет их, я могу настроить VPN только на весь спектр услуг IP.

Я беспокоюсь, что клиент если я сделаю это, я получу полный доступ ко всем услугам.

Я несколько дней искал способ обработки входящего трафика VPN c, но ничего не нашел.

Как можно Я ограничиваю доступ? Или он ограничен, и мне нужны netpols для его ограничения?

Входящий трафик VPN c может быть прекращен либо в самой службе, либо на входе - насколько я вижу. Прекращение на входе, вероятно, будет лучше.

Надеюсь, это не слишком смущает, заранее большое спасибо

Answer 1

Как вы упомянули, внешний балансировщик нагрузки здесь был бы идеальным, как вы упомянули, но если вы должны использовать GCP Cloud VPN, вы можете ограничить доступ к вашему кластеру GKE (и GCP VP C в целом) с помощью Правила брандмауэра GCP вместе с внутренними LB GKE HTTP или TCP .

Как общая картина, что-то вроде this .

Во-вторых, нам нужно добавить два правила брандмауэра в созданные нами выделенные сети (project-a-network и project-b-network). Go в Сеть-> Сети и щелкните сеть проекта [[| |]]. Нажмите «Добавить правило брандмауэра». Первое правило, которое мы создаем, позволяет S SH traffi c из publi c, чтобы мы могли S SH в только что созданные экземпляры. Второе правило разрешает трафик icmp c (ping использует протокол icmp) между двумя сетями.