spec.loadBalancerSourceRanges для провайдера Linode Cloud

Question

Я пытаюсь заблокировать свой кластер kubernetes и в настоящее время использую cloudflare на передней панели, пытаясь внести в белый список IP-адреса cloudflare

это у меня на службе yaml:

spec:
  type: LoadBalancer
  loadBalancerSourceRanges:
  - 130.211.204.1/32
  - 173.245.48.0/20
  - 103.21.244.0/22
  - 103.22.200.0/22
  - 103.31.4.0/22
  - 141.101.64.0/18
  - 108.162.192.0/18
  - 190.93.240.0/20
  - 188.114.96.0/20
  - 197.234.240.0/22
  - 198.41.128.0/17
  - 162.158.0.0/15
  - 104.16.0.0/12
  - 172.64.0.0/13
  - 131.0.72.0/22

после применения этого манифеста я могу получить доступ к URL-адресу loadbalancer из любого браузера! эта функция не работает или, возможно, я настроил ее неправильно.

Спасибо.

Answer 1

С https://kubernetes.io/docs/tasks/access-application-cluster/configure-cloud-provider-firewall/#restrict-access-for-loadbalancer-service:

При использовании службы с spec.type: LoadBalancer вы можете указать диапазоны IP-адресов, которым разрешен доступ к балансировщику нагрузки, с помощью spec.loadBalancerSourceRanges.В этом поле содержится список диапазонов IP CIDR, которые Kubernetes будет использовать для настройки исключений брандмауэра.В настоящее время эта функция поддерживается в Google Compute Engine, Google Kubernetes Engine, AWS Elastic Kubernetes Service, Azure Kubernetes Service и IBM Cloud Kubernetes Service.Это поле будет игнорироваться, если облачный провайдер не поддерживает эту функцию.

Может быть, ваше облако просто не поддерживает ее.

Вы можете использовать другие вещи, которые позволяют блокировать по источникуIP, например, nginx или ingress-nginx.В ingress-nginx вы просто указываете список разрешенных IP-адресов в аннотации ingress.kubernetes.io/whitelist-source-range.

Если вы хотите перейти на Nginx или другой маршрут прокси - не забудьте изменить службу балансировки нагрузки externalTrafficPolicy на Local.В противном случае вы не увидите реальных IP-адресов клиентов.