[英]Kops nginx-Ingress controller fails to create AWS Network Load Balancer due to permission issue
[英]For nginx-ingress controller, when setting controller loadblancer whitelist IP ranges (NOT ingress whitelist ranges), is this visible on GCP console?
我們在集群中有一個 nginx 入口 controller,入口資源上有白名單注釋。 這一切都按預期工作。 流量進入 controller,如果它與入口的范圍不匹配,則會收到 403ed。 那里沒問題。
我們現在已使用controller.service.loadBalancerSourceRanges
將其移動到負載均衡器上(例如,在負載均衡器級別阻止流量,而不是在入口資源級別)。 這會在服務中創建.spec.loadBalancerSourceRanges
:
apiVersion: v1
kind: Service
metadata:
labels:
...
name: nginx-ingress-controller
namespace: nginx-ingress
spec:
clusterIP: x.x.x.x
clusterIPs:
- x.x.x.x
externalTrafficPolicy: Local
healthCheckNodePort: 31564
loadBalancerSourceRanges:
- 10.0.0.0/8
- 192.168.0.0/16
- 172.17.0.0/16
- ...
- ...
ports:
....
selector:
...
sessionAffinity: None
type: LoadBalancer
status:
loadBalancer:
ingress:
- ip: x.x.x.x
這里的一切也都按預期工作。 任何不在白名單中的流量都不會成功連接到 controller pod,因為雲提供商的負載均衡器沒有通過它。
然而,我的問題是:有沒有一種方法可以讓我們在控制台(在我的例子中是 GCP)內的負載均衡器上看到這些范圍?
換句話說,如果我選擇了入口 controller 使用的 Google LB,我將如何查看該負載均衡器允許的 CIDR 范圍(如果有)?
當 GKE 在服務清單中遇到spec:loadBalancerSourceRanges
時,它會做兩件事:
VPC 防火牆規則名稱應以k8s
。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.