在EKS上使用Istio时,如何限制创建的安全组规则中的IP?
When using Istio on EKS, how can I restrict the IPs in the security group rules that are created?
我刚刚在 EKS 上设置了 Istio。我注意到网关控制器(我应该这样称呼它吗?)创建了一个 ELB 和一个相应的安全组,允许在几个不同端口上传入流量:
现在,所有这些规则都允许来自任何地方的流量 (0.0.0.0/0),但我希望能够将其限制在我的 VPN 服务器上。有没有办法为这些规则指定一个安全组 ID(理想情况下)或至少一个 IP?
有一种方法可以通过 Helm 在 Istio installation/upgrade 期间为默认 Istio 的 Ingress Gateway 的入站规则指定源 IP。
您可以通过调整与您的 istio-ingressgateway pod 关联的服务对象种类的默认值来实现它:
以下是我通过 Helm 安装的方式:
- 使用 --set 选项与 helm 一起安装以覆盖默认值(这里是 'gateways' 子图的默认值):
$ helm install install/kubernetes/helm/istio --name istio-maxi --namespace istio-system \
--set gateways.istio-ingressgateway.loadBalancerSourceRanges=143.231.0.0/16
- 这是前面ELB的入站规则
在 AWS 控制台中看到的 Istio Ingress Gateway:
重要提示:
loadBalancerSourceRanges 字段目前可用,但仍处于 Istio helm chart预发布 状态 (1.1.0-snapshot.5)
我刚刚在 EKS 上设置了 Istio。我注意到网关控制器(我应该这样称呼它吗?)创建了一个 ELB 和一个相应的安全组,允许在几个不同端口上传入流量:
现在,所有这些规则都允许来自任何地方的流量 (0.0.0.0/0),但我希望能够将其限制在我的 VPN 服务器上。有没有办法为这些规则指定一个安全组 ID(理想情况下)或至少一个 IP?
有一种方法可以通过 Helm 在 Istio installation/upgrade 期间为默认 Istio 的 Ingress Gateway 的入站规则指定源 IP。
您可以通过调整与您的 istio-ingressgateway pod 关联的服务对象种类的默认值来实现它:
以下是我通过 Helm 安装的方式:
- 使用 --set 选项与 helm 一起安装以覆盖默认值(这里是 'gateways' 子图的默认值):
$ helm install install/kubernetes/helm/istio --name istio-maxi --namespace istio-system \ --set gateways.istio-ingressgateway.loadBalancerSourceRanges=143.231.0.0/16
- 这是前面ELB的入站规则 在 AWS 控制台中看到的 Istio Ingress Gateway:
重要提示:
loadBalancerSourceRanges 字段目前可用,但仍处于 Istio helm chart预发布 状态 (1.1.0-snapshot.5)