Kubernetes出站请求使用服务IP

Question

在我们的Kubernetes部署中，我们在部署控制器上部署了一个WebApp，并为外部访问创建了一个负载均衡器。

因此，所有入站请求都通过负载均衡器进行负载平衡，并且运行良好。

但是我们面临着出站request.In的问题，我们的外部应用程序只能接受来自白名单IP地址的流量，所以我们想给负载均衡器ip，然后它将被列入白名单，因为pods本质上是短暂的，它们的IP将不是静态的。

但由于请求来自pod，它会保留pod的源ip，然后外部应用丢弃该请求。

pod是否可以使用源作为服务ip发送出站请求，或者是否可以使用服务ip掩蔽源Ip？

Answer 1

为此，您可以潜在地使用出口网关。Istio提供特使作为出口网关代理。从集群内的服务中，所有出站流量都将通过此出口代理进行路由。在将流量发送到外部服务之前，您可以在代理上配置TLS发起。然后您需要在您的外部服务中将出口网关的IP列入白名单。

其他选项是在外部服务前面有一个反向代理，并终止来自kubernetes内部服务通信量，并启动从反向代理到外部服务的新TCP会话。在这种情况下，反向代理接受来自任何源IP的连接，但外部服务只接收来自代理的请求。您可以将代理配置为在http标头中传递实际的客户端IP，通常是X-Forwarded-Host

https://istio.io/docs/tasks/traffic-management/egress/

Answer 2

我假设你在IPv4模式下使用Kubernetes。当您从kubernetes pod访问外部IP地址时，请求是源NAT。这意味着数据包将具有主机(VM?)的IP地址。流量通过其流出的以太网接口。请将此IP列入白名单，看看是否有帮助

这将是一个很好的参考：https://www.youtube.com/watch?v=0Omvgd7Hg1I

请注意，当其他服务想要发现并与其他服务交谈时，服务IP很有用，并且IP表(在kube-proxy IP表模式下)将其转换为POD IP。它不适用于源自给定服务的流量