Назад | Перейти на главную страницу

Правила брандмауэра внутренней балансировки нагрузки GCP с GKE

Я запускаю небольшой кластер Kubernetes на GKE и предоставляю VPN-соединение (CloudVPN) в этот VPC. Я хотел бы ограничить трафик, входящий в VPC через VPN, только для доступа к внутреннему балансировщику нагрузки (ILB), который я настроил для этой цели (разрешая доступ к службе, работающей в GKE). К сожалению, я изо всех сил пытаюсь найти лучший способ ограничить трафик для этого конкретного варианта использования. Не похоже, что я могу установить правило входа для трафика в ILB, поскольку правила входа межсетевого экрана GCP используют теги для указания целей, которые я не могу установить в ILB.

Будем признательны за любые предложения о способах реализации этой функции. Не настроен на использование правил брандмауэра GCP, но казалось, что это будет очевидный способ реализовать это. В настоящее время я использую другой экземпляр в качестве своего рода «прокси» (который я могу использовать с помощью брандмауэра, поскольку могу устанавливать теги экземпляра), но наличие другого экземпляра, работающего вместе с ILB, кажется излишним. Моя следующая ветвь исследования будет заключаться в том, чтобы узнать, могу ли я настроить CloudVPN в отдельном VPC, а затем использовать пиринг и маршруты для реализации чего-то на этом пути - хотя я подозреваю, что здесь могут быть проблемы, и предпочел бы механизм, который действует по IP : порт, а не просто ip.

Как вы правильно заявили, нет способа ограничить входящий трафик на внутреннем балансировщике нагрузки. Cloud Armor звучит неплохо, но, как уже упоминалось, еще не доступен для Internal LB. 1.

Хотя это выглядит излишним, наличие экземпляра перед Load Balancer может быть самым быстрым и простым решением.

Другая альтернатива, похожая на то, что вы предлагаете, но намного проще:

Если вы можете воссоздать VPN-туннель, и если единственный трафик, который вы хотите пропустить через него, - это трафик, проходящий через LB, вы можете ограничить селекторы трафика / рекламные объявления BGP (в зависимости от типа VPN) подсетью, специально разработанной для внутренней сети. Балансировщик нагрузки.

  1. Создайте подсеть / 29
  2. Создайте внешний интерфейс, используя IP-адрес из этой подсети.
  3. Настройте VPN, чтобы разрешить трафик только из этой подсети.