#kubernetes #google-cloud-platform #google-kubernetes-engine
# #kubernetes #google-облачная платформа #google-kubernetes-engine
Вопрос:
Мне нужно заблокировать доступ к службе, работающей в Google Cloud Kubernetes. Что я могу сделать, так это использовать «loadBalancerSourceRanges» при развертывании службы с помощью балансировщика нагрузки TCP, чтобы ограничить сети, которые могут получить доступ к службе, скажем, через порт 443.
Что я, похоже, не могу сделать, так это заблокировать ICMP-трафик из Интернета, попадающий в балансировщик нагрузки. У меня есть требование соответствия требованиям безопасности.
Документация Google и отслеживание ошибок, похоже, указывают на то, что это невозможно. Я прав и какая лучшая альтернатива?
Ответ №1:
Если вы перейдете в VPC Network -> Правила брандмауэра -> Создать правило брандмауэра и выберите цели как «Все экземпляры в сети» и заблокируете все запросы ICMP, вы можете выполнить это (не проверено).
Комментарии:
1. Это заблокирует icmp для самих узлов kubernetes, а не для балансировщика нагрузки. Похоже, он находится снаружи, и пока с этим особо ничего не поделаешь.