Могу ли я удалить внешний IP из моего кластера GKE?
Я только начал использовать Google Kubernetes Engine (GKE), и мне это нравится.
Я потратил некоторое время на настройку внутреннего балансировщика нагрузки, чтобы у моего приложения был IP-адрес 10.128.0.0/16.
Теперь мне интересно, могу ли я удалить внешний IP из моего кластера?
Все, что я нахожу, - это то, что Google требует внешнего IP-адреса в кластере, и его нельзя удалить. У кого-нибудь есть опыт с этим?
Я работаю с данными о работоспособности и не решаюсь развернуть производственное приложение в кластере с внешним IP-адресом. Я думаю, что брандмауэр в моем проекте обеспечивает достаточную защиту, но я просто чувствую себя нехорошо, имея систему с внешним IP-адресом, если я собираюсь поместить в нее отдельные данные о работоспособности. Если вы не знаете ответ на вопрос "Могу ли я удалить внешний IP из моего кластера?" вопрос, я хотел бы получить некоторые комментарии по этому поводу. Я вижу, что GKE является защищенным продуктом в документации Google по соответствию HIPAA.
2 ответа
Теперь возможно создать частный кластер Kubernetes на GKE.
Мастер по умолчанию недоступен из общедоступного Интернета, и у ваших узлов нет общедоступных IP-адресов.
Вам все еще нужно получить доступ к главному, иначе ваш кластер будет бесполезным:) По этой причине вам нужно добавить главные авторизованные сети, где вы назначаете один или несколько общедоступных IP-адресов, которым разрешено подключаться к главному экземпляру.
Google Kubernetes Engine имеет функцию бета-тестирования, которая называется MasterAuthorizedNetworks, которая позволяет ограничивать трафик до IP-адреса вашего уровня управления Kubernetes, размещенного на хосте, с помощью блоков CIDR. Обратите внимание, что общедоступные IP-адреса GCE будут по-прежнему иметь доступ к конечной точке вашего кластера, поэтому это не так хорошо, как полностью частные кластеры, но это намного лучше, чем доступность IP для всего Интернета.