我创建了一个“启用了Istio的” k8s集群,默认情况下,我的容器是“ are unable to access URLs outside of the cluster”。很好,符合我的安全要求。
现在,我正在尝试创建一个Istio Service Entry,以允许我的容器请求Istio服务网格之外的s3存储桶。
据我所知,Amazon S3没有特定的“主机”或定义明确的IP地址范围。我怎样才能做到这一点?我需要使用什么协议?
apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
name: enable-access-to-s3-buckets
spec:
hosts:
- ????????
ports:
- number: ???????
name: ??????
protocol: ??????
resolution: ?????
答案 0 :(得分:3)
在这里,您可以获得有关s3终止点的列表,这可能会有所帮助:https://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region
另一种解决方案是在K8S群集的同一VPC内创建一个s3端点,并使用该名称来限制使用私有IP规则的访问。有关详细文档,请参见https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html。