Белый IP-адрес для доступа к развертыванию с помощью входа в Kubernetes Istio

Question

Белый IP-адрес для доступа к развертыванию с помощью входа в Kubernetes Istio

Я пытаюсь внести в белый список IP-адрес для доступа к развертыванию в моем кластере Kubernetes.

Я искал некоторую документацию онлайн об этом, но я нашел только

ingress.kubernetes.io/whitelist-source-range

для входа, чтобы предоставить доступ к определенному диапазону IP. Но все же мне не удалось изолировать развертывание.

Вот входной файл конфигурации YAML:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: ingress-internal
  annotations:
    kubernetes.io/ingress.class: "istio"
    ingress.kubernetes.io/whitelist-source-range: "xxx.xx.xx.0/24, xx.xxx.xx.0/24"
spec:
  rules:
  - host: white.example.com
    http:
      paths:
      - backend:
          serviceName: white
          servicePort: 80

Я могу получить доступ к развертыванию с моего белого IP-адреса и с мобильного телефона (другой IP-адрес не указан в конфигурации)

Кто-нибудь входил в ту же проблему, используя Ingress и Istio?

Любая помощь, подсказка, документы или альтернативная конфигурация будут высоко оценены.

8

kubernetes istio whitelist kubernetes-security docker-ingress

Источник

user2550094 20 сен '17 в 13:44

2 ответа

Другие вопросы по тегам kubernetes istio whitelist kubernetes-security docker-ingress

user3151902 23 сен '17 в 18:30 2017-09-23 18:30 · Answer 1 · 2017-09-23 18:30

Посмотрите на обзор аннотаций, кажется, что whitelist-source-range istio не поддерживается:

whitelist-source-range: Отдельный запятый список IP-адресов, к которым разрешен доступ.
nginx, haproxy, сервер трафика

1

Источник

user3151902 23 сен '17 в 18:30

user476917 30 окт '18 в 10:56 2018-10-30 10:56 · Answer 2 · 2018-10-30 10:56

Мне удалось решить проблему с использованием ip-адреса белого списка для моей службы на основе istio (приложение, использующее прокси istio и открытое через входной шлюз istio через общедоступный LB) с помощью NetworkPolicy.

Для моего случая вот топология:

Публичный балансировщик нагрузки (в GKE, с использованием режима preserve clientIP) ==> Отдельные модули контроллера шлюза Istio (см. Мой ответ здесь) ==> Мои модули (контейнер боковой панели istio-proxy, мой основной контейнер).

Итак, я настроил 2 сетевые политики:

NetworkPolicy, которая защищает входящее соединение от интернет-соединения до моих контроллеров Istio Ingress Gateway Controller. В моей конфигурации сетевой политики мне просто нужно установить spec.podSelector.matchLabels поле к ярлыку модуля выделенного контроллера шлюза Istio Ingress.
Еще одна NetworkPolicy, которая ограничивает входящее соединение с моим Развертыванием -> только из модулей / развертываний контроллера шлюза Istio Ingress.