在一个项目中,我们开始使用GKE来托管一些服务。
所有团队成员都应该可以访问这些服务,但世界上的任何其他人都应该无法访问这些服务。
我们的团队在家工作,因此我们不能限制 IP 地址或类似的东西。
确保只有团队成员才能访问服务的最佳方法是什么?
我试图设置 IAP。那行得通,但是每个服务都有很多设置,我没有找到一种方法来允许“技术用户”,比如允许 sonarscanner 到达 sonarqube。
也许另一种选择是设置一个专用的 nginx-ingress 控制器,我可以使用 BasicAuth 或客户端证书来保护它。- 但感觉我的情况很常见,我错过了一些现有的东西。- 有什么提示吗?
当前 IAP 面临的挑战是,我拥有像 Sonarqube 这样的服务,它同时提供 Web 界面和 API。使用浏览器访问 Web 界面可以正常工作。但我不清楚如何配置例如 sonarscanner 以访问受 IAP 保护的 API。
IAP 的第二个问题是,它要求每个服务配置相当多的 GKE 特定样板文件(Frontendconfig/Backendconfig/Annotations/etc.)。我真的很想将这种配置从服务(即开发人员)转移到集群/入口控制器(即集群管理员)。