httpsロードバランサの入力ipsのホワイトリスト/フィルタ

私はKubernetesでGoogle Container Engineを使用しています。 sslを終了し、トラフィックをk8sクラスタノードに転送するhttpsロードバランサを作成しました。問題は、受信IPアドレスをホワイトリスト/フィルタするオプションがないことです。何かありますか？httpsロードバランサの入力ipsのホワイトリスト/フィルタ

出典

2017-05-08 Vitamon

gceコントローラを使用している場合、nginx controller [2]だけがホワイトリストipを受け入れます。あなたがKubernetesの外でロードバランサを設定したよう

は、[1] https://github.com/kubernetes/ingress/issues/566

は、[2] https://github.com/kubernetes/ingress/blob/188c64aaac17ef29400e0f143b9aed7770e32fee/controllers/nginx/configuration.md#whitelist-source-range

出典

2017-05-09 10:33:33

ですね。 Kubernetes Serviceをtype: LoadBalancerに設定することを検討してください。このタイプのサービスは、Podsのすべてに負荷分散され、loadBalancerSourceRanges設定を使用してホワイトリストIPに簡単に制限される外部IPを提供します。ここでhttps://kubernetes.io/docs/tasks/access-application-cluster/configure-cloud-provider-firewall/

apiVersion: v1 
kind: Service 
metadata: 
    name: myapp 
spec: 
ports: 
    - port: 8765 
     targetPort: 9376 
    selector: 
    app: example 
    type: LoadBalancer 
    loadBalancerIP: 79.78.77.76 
    loadBalancerSourceRanges: 
    - 130.211.204.1/32 
    - 130.211.204.2/32

出典

2017-05-10 11:42:57 coreypobrien

のドキュメントからの例があるこれは、GCPにランダムはかないIP（しかし、私は、静的なものを使用する必要がある）とのTCPロードバランサを作成し、私は、SSLターミネーション/キー管理を行う必要があるでしょう自分で... – Vitamon

GCPでは、事前に作成した静的IPを指定するのに 'loadBalancerIP'を使うことができます。この例を含めて更新しました。あなたは正しいですが、Kubernetes内の何かを使用してSSLを終了する必要があります（通常はIngressコントローラhttps://kubernetes.io/docs/concepts/services-networking/ingress/#tlsを使用します）。 – coreypobrien

ヒントをお寄せいただきありがとうございます.GCPチームがこの機能を実装するまでお待ちしております。これまでは、x-forwarded-forヘッダに基づいて独自のIPフィルタリングを実装していました – Vitamon

httpsロードバランサの入力ipsのホワイトリスト/フィルタ

答えて

関連する問題