Могу ли я использовать loadBalancerSourceRanges с сопроводительным файлом Thanos, чтобы разрешить доступ к нему только (не общедоступному) Thanos Querier?

У меня есть настройка Thanos Sidecar в кластере Kubernetes для разработки в качестве внешней службы LoadBalancer. В отдельном кластере у меня запущен Thanos Querier, который указывает на IP-адрес Thanos Sidecar. Чтобы обеспечить определенную степень безопасности, я использую тег loadBalancerSourceRanges в YAML развертывания, чтобы ограничить доступ к сайту Thanos только IP-адресом Thanos Querier.

Это представляет собой канцелярскую проблему с моей стороны: какой IP-адрес у Thanos Querier. Когда я ограничиваю доступ к ClusterIP для Thanos Querier, я могу получить доступ к экземпляру Thanos Sidecar. Я обеспокоен тем, что использование ClusterIP представляет собой уязвимость в системе безопасности. Я ошибаюсь, предполагая это, и есть ли лучший способ ограничить этот доступ для службы gRPC, такой как Танос?