Как мне настроить вход kuberentes для доступа только по VPN?

Question

У меня есть кластер Kubernetes с настройкой входа nginx для конечных точек publi c. Это прекрасно работает, но у меня есть один сервис, который я не хочу показывать публике c, но я хочу показать людям, которые имеют доступ по vp c через vpn. У людей, которым потребуется доступ к этому маршруту, не будет настройки kubectl, поэтому они не могут использовать port-forward для отправки его на локальный хост.

Какой лучший способ настроить вход для службы, доступ к которой будет ограничен только для пользователей VPN?

Редактировать: спасибо за ответы. Как несколько человек догадались, я управляю кластером EKS в AWS.

Answer 1

Поскольку вы говорите о "VP C" и предполагаете, что ваш кластер находится в AWS, вам, вероятно, нужно сделать то, что сказал @coderanger.

Разверните новый входной контроллер с «LoadBalancer» в типе службы и добавьте аннотацию service.beta.kubernetes.io/aws-load-balancer-internal: "true".

Проверьте здесь, какие возможные аннотации можно добавить в балансировщик нагрузки в AWS: https://kubernetes.io/docs/concepts/cluster-administration/cloud-providers/#load -balancers

Также можно создать группу безопасности, например, и добавить ее в балансировщик нагрузки с помощью service.beta.kubernetes.io/aws-load-balancer-security-groups.

Answer 2

Это во многом зависит от вашего Ingress Controller и облачного хоста, но, грубо говоря, вы, вероятно, настроите вторую копию вашего контроллера, используя службу внутреннего балансировщика нагрузки, а не publi c LB, а затем установите эту службу и / или вход для разрешения только с IP-адреса модулей VPN.