Это слишком сложный способ go об этом.
Почему бы вам не сделать следующее:
- Предоставьте вашему EKS-кластеру набор публикаций c и частные подсети
- Provision 'publi c' pods за службой типа "LoadBalancer", настроенной для предоставления ELBS или NLB в ваших подсетях publi c.
- Provision частные модули за службами типа 'ClusterIP' - и убедитесь, что фактические узлы кластера eks инициализируются в частных подсетях вашего vp c.
У ваших узлов нет веских оснований подвергаться воздействию inte rnet. Используйте Loadbalancer в качестве выреза и шлюзы NAT, чтобы ваши частные подсети могли достигать inte rnet.
. Это ограничивает вашу поверхность publi c api теми сегментами 'publi c' pods, которые доступны в сервисах publi c, оставляя остальную часть вашего кластера темной.
Кроме того,
Я знаю, что, вероятно, мне следует использовать publi c интерфейсы везде и ограничивают доступ с помощью ACL
не очень хорошая идея. Используйте частные интерфейсы везде и убедитесь, что ваши узлы не видны из публикации c inte rnet. Почти никогда не бывает хорошей идеей иметь доступ к серверу из целого rnet в целом - он подвергает вас всевозможным атакам, которые будут защищены от NAT, LoadBalancers или других промежуточных систем.