Защита API Kubernetes на Azure, доступном только по локальному IP (RFC1918)

Question

Обратите внимание, что когда я создаю Azure Kubernetes, по умолчанию он создает API с полным доменным именем * .azmk8s.io и является внешним. Есть ли способ создать с локальным IP вместо этого? Если «да», может ли это быть защищено NSG и виртуальной сетью для ограничения подключений, проходящих через Jump Server? Если есть какой-либо недостаток, позволяющий создать только внутренний IP-адрес?

Ниже приведена команда, которую я использовал для создания: -

az aks create -g [resourceGroup] -n [ClusterName] - windows -admin-password [SomePassword] - windows -admin-username [SomeUserName] --location [Расположение] --generate-s sh -key - c 1 --enable-vmss --kubernetes-версия 1.14.8 - сетевой плагин azure

Кто-нибудь пробовал https://docs.microsoft.com/en-us/azure/aks/private-clusters? Если это все еще позволяет внешнему приложению, но частному API управления?

Answer 1

почему бы и нет? отличается только конечная точка плоскости управления. во всех остальных отношениях - это обычный кластер AKS.

В частном кластере плоскость управления или сервер API имеют внутренние IP-адреса, которые определены в документе RFC1918 - Распределение адресов для частных интернет-сетей. Используя частный кластер, вы можете убедиться, что сетевой трафик c между вашим сервером API и пулами узлов остается только в частной сети.

В этом описано, как подключиться в частный кластер с kubectl. NSG должен работать как обычно