Я пытаюсь использовать группу безопасности, чтобы разрешить трафик https только с определенного IP. Я создал Ingress Service и ресурс. (ref: Контроллер NGINX
Я попытался настроить ниже на Ingress Service.
kind: Service
apiVersion: v1
metadata:
name: ingress-nginx
namespace: ingress-nginx
labels:
app.kubernetes.io/name: ingress-nginx
app.kubernetes.io/part-of: ingress-nginx
annotations:
service.beta.kubernetes.io/aws-load-balancer-ssl-cert: {cert}
# the backend instances are HTTP
service.beta.kubernetes.io/aws-load-balancer-backend-protocol: "http"
# Map port 443
service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "https"
service.beta.kubernetes.io/aws-load-balancer-connection-idle-timeout: "60"
service.beta.kubernetes.io/aws-load-balancer-extra-security-groups: {SG Allowing ingres from IP}
spec:
type: LoadBalancer
selector:
app.kubernetes.io/name: ingress-nginx
app.kubernetes.io/part-of: ingress-nginx
ports:
- name: http
port: 80
targetPort: http
- name: https
port: 443
targetPort: http
Я тоже попробовал ресурс.
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: test-ingress
annotations:
service.beta.kubernetes.io/aws-load-balancer-extra-security-groups: {SG Allowing ingres from IP}
ingress.kubernetes.io/whitelist-source-range: "IP"
spec:
rules:
- host: test.com
http:
paths:
- backend:
serviceName: backend
servicePort: 8080
path: /
Чего мне не хватает?
Я вижу автоматически сгенерированный SG на балансировщике нагрузки, который разрешает весь входящий трафик. Но я не уверен, создан ли он службой или ресурсом. И если это нормально, чтобы редактировать это напрямую.
Обновление:
Сгенерированный СГ
Я добавил еще один SG, который ограничивает IP для входа, но не применяется.