Назначить внешний ip для модуля kubernetes

Контекст:

• Мы работаем над интеграцией с одним из наших клиентов
• Чтобы получить доступ к своим системам, нам нужно установить VPN-соединение
• По соображениям безопасности нам нужно привязать это VPN-соединение к статическому IP-адресу на нашей стороне (в основном, проверка безопасности уровня 4, выполняемая маршрутизатором Juniper; мы используем OpenSwan для подключения к нему).
• Чтобы сделать это, мы должны подключиться с этого IP; то есть нам нужно установить сокет-соединение, где исходный IP-адрес соответствует этому статическому IP-адресу с точки зрения маршрутизатора (и, конечно, это должно успешно вернуться к нашему модулю)
• Клиентская сторона имеет очень ограниченные ресурсы в оперативном режиме, так что это защитное кольцо - единственный способ подключения к их системам.

В то время как наша текущая система работает (AWS) Kubernetes, которая:

• Сделано из переходных модулей, переходных узлов, со смещением IP
• Может назначить ExternalIP для службы (которая, в свою очередь, может направить его на модуль); однако это по умолчанию не дает никаких гарантий относительно IP-адреса отправителя трафика, инициируемого этим модулем.

По этой причине мы настроили внешний ящик и присвоили ему Elastic IP в качестве привязки для VPN, выставления конечных точек и вызова наших сервисов Kubernetes. Это приводит к единственной точке отказа - если эта коробка выходит из строя, то же самое происходит и с нашей интеграцией.

Вопрос: каким образом это может быть сделано HA в мире Kubernetes, учитывая ограничения в первом списке выше?