我的GKE群集中的服务中运行着一个API,我团队中的其他一些开发人员必须可以访问它。他们正在使用VPN,因此拥有可以提供给我的静态IP。
我的想法是只使用静态外部IP公开服务,并使用防火墙规则(仅限我同事的IP)限制对该IP的访问。
不幸的是,这对于Compute-VM似乎是可行的,因为只有它们可以具有标签。
有没有一种方法可以简单地拒绝除来自特定IP的流量之外的所有流量到我的服务?
感谢您对功能的任何提示,谢谢
答案 0 :(得分:1)
好吧,您不需要标签,您可以创建防火墙规则以仅允许访问开发人员提供的IP,就在您创建防火墙规则时,选择网络中的所有实例< / strong>为目标和源IP范围指定以/ 32结尾的IP 。
答案 1 :(得分:1)
您可以为他们提供RBAC访问所需名称空间中的Pod的权限,并允许它们向前移植。假设您不想设置公共端点并尝试保护它。这确实需要安装kubectl并具有集群访问权限,并且可以访问命名空间中的所有pod。
https://medium.com/@ManagedKube/kubernetes-rbac-port-forward-4c7eb3951e28
取决于我猜想您需要的安全性和持久性级别。