我想在 GKE 上jenkins使用其官方 helm chart进行安装。
我想使用 LoadBalancer 公开代理服务(端口 50000)(将来自一些远程代理)。
请问这个注解
service.beta.kubernetes.io/load-balancer-source-ranges: "172.0.0.0/8, 10.0.0.0/8"
还有助于保护 GCP 负载均衡器,还是仅适用于 AWS?
在 GKE 内部发起的代理是否仍然需要通过互联网才能到达服务,还是会在内部路由到相应的代理服务?
如果您询问使用“loadBalancerSourceRanges”参数service.beta.kubernetes.io/load-balancer-source-ranges注释将防火墙列入白名单的能力,则支持并经常在 GCP 上使用。
这是具有定义源范围的示例负载均衡器服务:
apiVersion: v1
kind: Service
metadata:
name: example-loadbalancer
annotations:
service.beta.kubernetes.io/load-balancer-source-ranges: "172.0.0.0/8, 10.0.0.0/8"
spec:
type: LoadBalancer
ports:
- protocol: TCP
port: 8888
targetPort: 8888
与网络负载平衡不同,对 TCP 代理负载平衡的访问不能通过使用防火墙规则来控制。这是因为 TCP 代理负载平衡是在 Google Cloud 的边缘实施的,而防火墙规则是在数据中心的实例上实施的。
有用的文档:gcp-external-load-balancing,load-balancing。