APIGEE端点的源IP地址是否有固定范围或模式？它是静态的还是变化的？

Question

我正在 Kubernetes 中设置一个负载均衡器，它只允许访问授权的 IP。我正在考虑 APIGEE 在客户端请求到达负载均衡器或服务端点之前使用抽象层来管理所有身份验证、速率限制和其他过滤器。

我了解在 Apigee 中使用 'Access Control' 政策，我可以将 Apigee 端点的访问权限限制为仅授权 IP。因此，我想允许通过 Apigee 端点的 Kubernetes 服务（或负载均衡器）中的 ONLY 流量。简而言之，在负载均衡器的 授权网络 中添加 Apigee 端点 IP 是我目前正在考虑的相同解决方案。

我看了一些文章和问题，但我仍然不确定 Apigee 端点（请求从中发送到 Kubernetes 负载均衡器）的 IP 地址是否是静态的，以及如何找到出来。 我尝试发送一个 curl -v 并且我得到了端点的 public IP，它也可以从 https://ipinfo.info/html/ip_checker.php

中检索到

总而言之，这是我的问题：
1. APIGEE向端点发送请求的IP地址是固定的还是变化的？如果改变，多久改变一次？
2. APIGEE 中每个代理是否有固定的 IP 范围？

Answer 1

在 Apigee 社区上发布相同的问题帮助我得出一个结论，即分配给 Apigee 代理的 IP 可以更改。这种情况很少见，但只有在云数据中心的相关硬件机器出现问题时它们才会消失。这种情况每年发生的次数不到一次，而且从来都不是计划中的更改。

因此，在后端防火墙中使用 IP 白名单来仅允许通过 Apigee Edge 代理的请求并不是最佳解决方案。双向 TLS 是通过启用的客户端身份验证保护后端服务的最佳方法。

Here is the link to the question on community.apigee.com

Answer 2

因为我发现这是一个简单的结束问题。对此的回答是 'Yes, the IP of Apigee source can change'。
更改频率应该很低，但在极少数情况下，IP 可能会更改。

使用双向 TLS 比 IP 白名单更能解决您所描述的问题。

有关我们如何在 Apigee Edge 和后端服务器之间配置双向 TLS 的更多信息，请参见 here。