在GKE上源IP防火墙规则的GCP上为负载均衡器应用注释

Question

我想在GKE上使用官方helm chart安装jenkins。

我想使用LoadBalancer公开代理服务(端口50000) (将从一些远程代理访问它)。

Will this注解

service.beta.kubernetes.io/load-balancer-source-ranges: "172.0.0.0/8, 10.0.0.0/8"

还可以帮助确保GCP负载均衡器的安全，或者它是否仅适用于AWS？

在GKE内部发起的代理是否仍然需要通过internet才能到达服务，或者它们是否会被内部路由到相应的代理服务？

Answer 1

如果您正在询问使用'loadBalancerSourceRanges‘参数将防火墙列入白名单的功能，那么service.beta.kubernetes.io/load-balancer-source-ranges注释是受支持的，并且经常在GCP上使用。

以下是具有定义的源范围的负载均衡器服务示例：

apiVersion: v1
kind: Service
metadata:
  name: example-loadbalancer
  annotations:
    service.beta.kubernetes.io/load-balancer-source-ranges: "172.0.0.0/8, 10.0.0.0/8"
spec:
  type: LoadBalancer
  ports:
  - protocol: TCP
    port: 8888
    targetPort: 8888

与网络负载平衡不同，无法使用防火墙规则控制对TCP代理负载平衡的访问。这是因为TCP代理负载均衡是在Google Cloud的边缘实施的，而防火墙规则是在数据中心的实例上实施的。

有用的文档：gcp-external-load-balancing、load-balancing。