снаружи к метрикам prometheus, которые выставляет наружу nginx-ingress-controller на порту 10254 по урлу /metrics(там светятся имена доменов/урлы,которые не должны быть доступны снаружи с точки зрения безопасности)
Я пробовал двум способами, но оба способа не приводят к нужному результату
а)добавить аргумент в спецификации контейнера в описании deployment в ingress-nginx-controller
--enable-metrics=false
б) изменить аннотацию для того же деплоймента с дефолтных true на false
prometheus.io/scrape: "false"
Как костыль/временное решение я пока заблокировал в iptables входящие на ВНЕШНИЙ интерфейс подключение на порт 10254 по протоколу TCP
iptables -I INPUT -i eth0 -p tcp --dport 10254 -j REJECT
Это не мешает кубелету успешно проводить readiness/liveness-пробы
Но как правильно отключить сбор этих метрик?
фаервол - верное решение чтобы ограничить доступ снаружи, а внутри кластера network policy
я так подозреваю что стоит ингрес контроллер от нжинкса а ключ юзается от того что от самого гугла (или кто там мейнтейнит его)
Обсуждают сегодня