Я создал 2 кластера kubernetes на AWS в рамках VPC.
1) Кластер, выделенный для микроуслуг (MI) 2) Кластер, выделенный для Consul / Vault (Vault) Таким образом, в принципе оба эти кластера могут бытьдостигается через различные классические публичные балансировщики нагрузки, которые предоставляют API k8s
MI: https://api.k8s.domain.com Хранилище: https://api.vault.domain.com
Я также настроил openvpn на обоих кластерах, поэтому вам нужновошли в vpn, чтобы "свернуться" или "kubectl" в кластеры.Для этого я просто добавил новое правило в группы безопасности ELB с IP-адресом VPN на порту 443:
HTTPS 443 IP-адрес VPN / 32
. На данный момент все работает правильно, что означает, что яЯ в состоянии успешно "kubectl" в обоих кластерах.
Следующее, что мне нужно сделать, это уметь делать скручивание из кластера Vault в контейнере модуля в кластере MI.В основном:
Vault Cluster --------> curl https://api.k8s.domain.com --header "Authorization: Bearer $ TOKEN" --------> MI cluster
Проблема в том, что на данный момент кластеры разрешают трафик только с IP-адреса VPN.
Чтобы решить эту проблему, я добавил новые правила в группу безопасности балансировщика нагрузки кластера MI.
Эти новые правила разрешают трафик от IP-адресов частных и главных экземпляров каждого хранилища.Но по какой-то причине это не работает!
Обратите внимание, что перед добавлением ограничений в группу безопасности ELB я убедился, что связь работает с обоими кластерами, пропуская весь трафик (0.0.0.0/0)
Таким образом, вопрос заключается в том, когда я выполняю команду curl в контейнере pod в другом API кластера в пределах того же VPC, какой IP-адрес контейнера нужно добавить в группу безопасности?