我在 Kubernetes 中设置了一个负载均衡器,它只允许访问授权的 IP。我正在考虑 APIGEE 在客户端请求到达负载均衡器或服务端点之前使用抽象层来管理所有身份验证、速率限制和其他过滤器。
我了解在 Apigee 中使用“访问控制”策略可以将 Apigee 端点的访问限制为仅授权 IP。因此,我只想允许通过Apigee端点的 Kubernetes 服务(或负载均衡器)中的流量。简而言之,在负载均衡器的授权网络中添加 Apigee 端点 IP是我目前正在考虑的相同解决方案。
我浏览了一些文章和问题,但我仍然不确定 Apigee 端点(从其发送请求到 Kubernetes 负载均衡器)的 IP 地址是否是静态的,以及如何找到它。我尝试发送curl -v并获得了端点的公共 IP,它也可以从https://ipinfo.info/html/ip_checker.php检索
总而言之,这是我的问题:
1. APIGEE 向端点发送请求的 IP 地址是固定的还是变化的?如果改变,多久改变一次?
2. APIGEE 中每个代理是否有固定的 IP 范围?
在 Apigee 社区上发布相同的问题帮助我得出一个结论,即分配给 Apigee 代理的 IP 可以更改。这种情况很少发生,但只有在云数据中心中的关联硬件机器出现问题时才会消失。这种情况每年发生不到一次,而且从来都不是有计划的改变。
因此,在后端的防火墙中使用 IP 白名单来仅允许通过 Apigee Edge 代理的请求并不是最佳解决方案。双向 TLS 是启用客户端身份验证保护后端服务的最佳方法。
As I find this a simple ended question. Answer to this would be a 'Yes, the IP of Apigee source can change'.
The frequency of the change is supposed to be really low, but in rare cases, the IP can change.
Using two-way TLS can be a better solution to the problem you've described than IP whitelisting.
More about how we can configure Two-way TLS between Apigee Edge and Backend Server can be found here.