我正在Kubernetes中设置一个负载平衡器,它将仅允许访问授权的IP。我正在考虑APIGEE在客户端请求到达负载均衡器或服务端点之前使用抽象层来管理所有身份验证,速率限制和其他过滤器。
我了解使用Apigee中的'Access Control'策略可以将Apigee端点的访问限制为仅授权IP。因此,我想允许通过Apigee端点进行的Kubernetes服务(或负载平衡器)中的仅流量。简而言之,在负载均衡器的授权网络中添加Apigee端点IP是我目前正在考虑的相同解决方案。
我浏览了几篇文章和问题,但仍然不确定Apigee端点的IP地址(将请求从该地址发送到Kubernetes负载均衡器)是否静态,以及如何找到它。 我尝试发送 curl -v ,并获得了端点的公共IP,也可以从https://ipinfo.info/html/ip_checker.php
中检索该IP。总结一下,这是我的问题:
1. APIGEE将请求发送到端点的IP地址是固定的还是已更改?如果有变化,多久一次?
2. APIGEE中的每个代理都有固定的IP范围吗?
答案 0 :(得分:1)
我发现这是一个简单的结局问题。答案是“是的,Apigee来源的IP可以更改”。
更改的频率本来应该很低,但是在极少数情况下,IP可以更改。
与IP白名单相比,使用双向TLS可以更好地解决您所描述的问题。
有关如何在Apigee Edge和后端服务器之间配置双向TLS的更多信息,请访问here。
答案 1 :(得分:0)
在Apigee社区发布相同的问题有助于我得出一个结论,即可以更改分配给Apigee代理的IP。这种情况很少发生,但是只有在云数据中心中关联的硬件机器之一出了问题时,它们才会消失。这种情况每年发生的次数少于一次,而且从未计划过更改。
因此,在后端防火墙中使用IP白名单来仅允许通过Apigee Edge代理进行请求不是最佳解决方案。双向TLS是启用客户端身份验证来保护后端服务的最佳方法。
的问题的链接