Google Google Kubernetes Engine 的身份识别代理和防火墙规则
Google Identity-Aware-Proxy and Firewall Rules for Google Kubernetes Engine
我想在 Google Kubernetes Engine 上为应用程序 运行 配置 Google Identity Aware Proxy。为此,我在我的 Kubernetes 配置中添加了一个 Ingress,因此我得到了一个负载均衡器来配置为身份感知代理。
现在 GCP 向我显示了一些关于有问题的防火墙规则的警告。由于所有这些规则都是由 GKE 配置的,我不太确定它们是否有问题。
据我了解,10.128.0.0/9 是项目的默认 VPC,10.56.0.0/14 是我的 kubernetes 集群中所有容器的 ip 范围。
对我来说,这意味着我的 project/kubernetes-cluster 内部的 "only" 内部流量可以绕过 IAP。对吗?
你是对的。但是,请记住,如果您设置了内部负载平衡器,流量将绕过 IAP。
请注意,您可以通过 Ingress 与 IAP 原生集成
https://cloud.google.com/iap/docs/enabling-kubernetes-howto
我想在 Google Kubernetes Engine 上为应用程序 运行 配置 Google Identity Aware Proxy。为此,我在我的 Kubernetes 配置中添加了一个 Ingress,因此我得到了一个负载均衡器来配置为身份感知代理。
现在 GCP 向我显示了一些关于有问题的防火墙规则的警告。由于所有这些规则都是由 GKE 配置的,我不太确定它们是否有问题。
据我了解,10.128.0.0/9 是项目的默认 VPC,10.56.0.0/14 是我的 kubernetes 集群中所有容器的 ip 范围。
对我来说,这意味着我的 project/kubernetes-cluster 内部的 "only" 内部流量可以绕过 IAP。对吗?
你是对的。但是,请记住,如果您设置了内部负载平衡器,流量将绕过 IAP。
请注意,您可以通过 Ingress 与 IAP 原生集成 https://cloud.google.com/iap/docs/enabling-kubernetes-howto