为 GKE 上的源 IP 防火墙规则在 GCP 上应用负载均衡器注释
Apply annotations for load balancer on GCP for source IP firewall rules on GKE
我想在 GKE 上使用其官方 helm chart 安装 jenkins。
我想使用 LoadBalancer 公开代理服务(端口 50000)(将从一些远程代理访问它)。
将this注释
service.beta.kubernetes.io/load-balancer-source-ranges: "172.0.0.0/8, 10.0.0.0/8"
也有助于保护 GCP 负载均衡器,还是仅适用于 AWS?
GKE 内部发起的代理是否仍然需要通过互联网才能到达服务,还是会在内部路由到相应的代理服务?
如果您询问使用 'loadBalancerSourceRanges' 参数将防火墙列入白名单的能力,service.beta.kubernetes.io/load-balancer-source-ranges 注释在 GCP 上得到支持并经常使用。
这是具有已定义源范围的负载均衡器服务示例:
apiVersion: v1
kind: Service
metadata:
name: example-loadbalancer
annotations:
service.beta.kubernetes.io/load-balancer-source-ranges: "172.0.0.0/8, 10.0.0.0/8"
spec:
type: LoadBalancer
ports:
- protocol: TCP
port: 8888
targetPort: 8888
与网络负载平衡不同,无法使用防火墙规则控制对 TCP 代理负载平衡的访问。这是因为 TCP 代理负载平衡是在 Google 云的边缘实施的,而防火墙规则是在数据中心的实例上实施的。
有用的文档:gcp-external-load-balancing, load-balancing.
我想在 GKE 上使用其官方 helm chart 安装 jenkins。
我想使用 LoadBalancer 公开代理服务(端口 50000)(将从一些远程代理访问它)。
将this注释
service.beta.kubernetes.io/load-balancer-source-ranges: "172.0.0.0/8, 10.0.0.0/8"
也有助于保护 GCP 负载均衡器,还是仅适用于 AWS?
GKE 内部发起的代理是否仍然需要通过互联网才能到达服务,还是会在内部路由到相应的代理服务?
如果您询问使用 'loadBalancerSourceRanges' 参数将防火墙列入白名单的能力,service.beta.kubernetes.io/load-balancer-source-ranges 注释在 GCP 上得到支持并经常使用。
这是具有已定义源范围的负载均衡器服务示例:
apiVersion: v1
kind: Service
metadata:
name: example-loadbalancer
annotations:
service.beta.kubernetes.io/load-balancer-source-ranges: "172.0.0.0/8, 10.0.0.0/8"
spec:
type: LoadBalancer
ports:
- protocol: TCP
port: 8888
targetPort: 8888
与网络负载平衡不同,无法使用防火墙规则控制对 TCP 代理负载平衡的访问。这是因为 TCP 代理负载平衡是在 Google 云的边缘实施的,而防火墙规则是在数据中心的实例上实施的。