Я только начал использовать Google Kubernetes Engine (GKE), и мне это нравится.
Я потратил некоторое время на получение Внутренний балансировщик нагрузки работает, поэтому у моего приложения есть IP-адрес 10.128.0.0/16.
Теперь мне интересно, я могу удалить внешний IP-адрес из своего кластера?
Все, что я обнаружил, - это то, что Google требует внешний IP-адрес в кластере и его нельзя удалить. У кого-нибудь есть опыт с этим?
Я работаю с данными о состоянии здоровья и не решаюсь развернуть производственное приложение в кластере с внешним IP. Я думаю, что брандмауэр в моем проекте обеспечивает достаточную защиту, но я просто чувствую себя неправильным, имея систему с внешним IP-адресом, если я собираюсь поместить в нее индивидуальные данные о состоянии здоровья. Если вы не знаете ответ на вопрос «могу ли я удалить внешний IP-адрес из моего кластера?» вопрос, я хотел бы получить несколько комментариев по этому поводу. я вижу GKE является защищенным продуктом в документации Google по соответствию HIPAA.
У Google Kubernetes Engine есть бета-функция под названием Мастер авторизованных сетей который позволяет вам ограничивать трафик IP-адресом вашей размещенной плоскости управления Kubernetes с помощью блоков CIDR. Обратите внимание, что общедоступные IP-адреса GCE по-прежнему будут иметь доступ к конечной точке вашего кластера, поэтому это не так хорошо, как полностью частные кластеры, но намного лучше, чем доступность IP-адреса для всего Интернета.
Теперь можно создать частный кластер Kubernetes на ГКЭ.
Мастер по умолчанию недоступен из общедоступного Интернета, и ваши узлы не имеют общедоступных IP-адресов.
Вам все равно нужен доступ к мастеру, иначе ваш кластер будет бесполезен :) По этой причине вам нужно добавить основные авторизованные сети, где вы назначаете один или несколько общедоступных IP-адресов, которым разрешено подключаться к мастер-экземпляру.