Есть ли фиксированный диапазон или шаблон в IP-адресе источника конечной точки APIGEE? Это статично или меняется?
Я настраиваю балансировщик нагрузки в Kubernetes, который разрешит доступ только авторизованным IP-адресам. Я рассматриваю APIGEE для использования уровня абстракции для управления всеми проверками подлинности, ограничением скорости и другими фильтрами до того, как клиентский запрос достигнет балансировщика нагрузки или конечной точки службы.
Я понимаю, что с помощью политики " Контроль доступа" в Apigee я могу ограничить доступ конечной точки Apigee только авторизованным IP-адресам. Поэтому я хочу разрешить ТОЛЬКО трафик в сервисе Kubernetes (или балансировщике нагрузки), который проходит через конечную точку Apigee. Короче говоря, добавление IP конечных точек Apigee в авторизованные сети в балансировщик нагрузки является идентичным решением, которое я рассматриваю в данный момент.
Я просмотрел несколько статей и вопросов и до сих пор не уверен, является ли IP-адрес конечной точки Apigee (с которого запросы отправляются в балансировщик нагрузки Kubernetes) статическим и как его выяснить. Я попытался отправить curl -v и получил публичный IP-адрес конечной точки, который также можно получить по https://ipinfo.info/html/ip_checker.php
Подводя итог, вот мои вопросы:
1. IP-адрес, с которого APIGEE отправляет запрос конечной точке, является фиксированным или изменяется? Если изменения, как часто?
2. Есть ли фиксированный диапазон IP-адресов для каждого прокси-сервера в APIGEE?
3 ответа
Размещение того же вопроса в сообществе Apigee помогло мне сделать вывод, что IP-адреса, назначенные прокси-серверу Apigee, могут быть изменены. Это редкий случай, когда это происходит, но они исчезают, только если что-то пойдет не так с одним из связанных аппаратных компьютеров в облачном центре обработки данных. Это происходит менее одного раза в год, и это никогда не является запланированным изменением.
Следовательно, использование белого списка IP-адресов в брандмауэре бэкэнда для разрешения запросов только через прокси-сервер Apigee Edge - не лучшее решение. Двухсторонний TLS - это лучший подход для защиты серверной службы с включенной аутентификацией клиента.
Подробнее о том, как мы можем настроить двусторонний TLS между Apigee Edge и Backend Server, можно найти здесь.
Вот ссылка на вопрос на https://community.apigee.com/index.html
Как я нахожу это простой законченный вопрос. Ответом на это будет "Да, IP источника Apigee может измениться".
Предполагается, что частота изменений будет действительно низкой, но в редких случаях IP-адрес может измениться.
Использование двусторонней TLS может быть лучшим решением описанной проблемы, чем белый список IP-адресов.
Подробнее о том, как мы можем настроить двусторонний TLS между Apigee Edge и Backend Server, можно найти здесь.
Теперь вы можете предоставить IP-адреса NAT для статических IP-адресов: https://cloud.google.com/apigee/docs/api-platform/security/nat-provisioning .