Kubernetes Service, и что бы поды не могли захватить себе этот же IP ? Интересует EKS.
а зачем?
нет
Есть идея туда повесить прокси, который будет предоставлять доступ к некоторому внешнему ресурсу. У остальных клиентов доступ в сеть вне пода закрыт, но можно добавить фиксированный IP или подсеть в whitelist.
эм не проще на уровне сг сделать?
А чём заключается идея?
в том что исходящий траффик проще контролировать на уровне сети
Тут проблема не только в запрете исходящего трафика. Мы используем Istio CNI, который завязывает сеть внутри пода на свой сайдкар. Так вот пока сайдкар не стартанет, сети в поде нет. Это особо чувствительно для init контейнеров, которые стартуют до сайдкар. И получается, что там вообще сети нет. Но есть лазейка, можно определенный IP исключить из под контроля Istio CNI
ну сделайте нат гв и исключите его
Nat Gateway может иметь фиксированный IP и проксировать запрос только на определенный хост? Суть в том, что бы дать возможность инит контейнеру приконектится только к определенному хосту и никуда более.
Что имеется ввиду под плохой идеей?
неконсистентность
Неконсистентность чего?
можно же исключить не айптшники, а порты
Этот вариант тоже прорабатываем. Но он немного сложнее в реализации, т.к нужно с 80-го на какой то редко используемый поменять, и немного опаснее - т.к этот порт будет открыт для любого IP-адреса.
Так ты на уровне пода открываешь порт, а на сервере закрываешь авторизацией
На всех остальных IP адресах в мире этот порт то останется открытым, т.е. в теории если злоумышленник получет доступ к поду, то он по такому порту что нибудь сможет скачать злонамеренное
Во-первых, у тебя будет нат, и ты знаешь с какого src придет запрос
Обсуждают сегодня