我在 DigitalOcean 上有一个 Kubernetes 集群设置和一个单独的数据库 Postgres 实例。在数据库集群设置中,有一个可以访问该数据库集群的受限 IP 地址列表(看起来是个好主意)。
我有一个使用 CircleCI 的构建和部署过程设置,在该过程结束时,将容器部署到 K8s 集群后,我需要运行数据库迁移。问题是我不知道 CircleCI 代理 IP 地址并且不能在 DO 设置中允许它。有人知道我们如何从 CircleCI 步骤中访问 DigitalOcean Postgres 集群吗?
不幸的是,当您使用您无法管理的分布式服务时,我会非常谨慎地使用受限 IP 方法。(真的,你有三个你不管理的服务——Postgres、Kubernetes 和 CircleCI。)我觉得 DigitalOcean 为内部网络提供了一个非常优秀的安全选项,因为它可以跟踪 droplet IP 等的变化。
但是,当您在另一个服务上部署时,特别是如果这是用于生产,并且即使您正在部署的解决方案的一部分(部分)部署在 DigitalOcean 基础设施上,我也会非常担心 CircleCI 会动态更改 IP。DO 无法知道何时会发生这种情况,因为与 Postgres 和 Kubernetes 不同,即使托管了其中的一部分,它们也不管理它
本质上,我必须建议您要么从您的 CircleCI 供应商/提供商那里获得静态 IP 的保证,要么禁用 Postgres 的 IP 限制。