Прюветики Вот интересный вопрос: можно ли как-то залочить екс на определенные

внешние адреса?
network acl & sg не подходят
ватйлисты nginx ingress & calico тоже нет (отдаются внутренние адреса с nlb)
waf только для alb
cloudfront может что-то такое?
или закрыть eks наружу совсем и через впн внутри амазона ходить единственный вариант?

12 ответов

30 просмотров

почему обязательно vpn, можно и бастион заюзать

в чем проблема с SG?

Crysalis- Автор вопроса
Igor Ignatev
в чем проблема с SG?

там какая-то наркомания с правилами пробовал запретить в кластерной sg, оно как-то через одно место работает может конечно надо сесть и поразбираться, но есть ли понимание, точно ли это работает? адресов порядка 30+ надо добавить в вайтлист (там ограничение на 40 есть как в nacl?)

Crysalis
там какая-то наркомания с правилами пробовал запре...

ты к чему именно трафик хочешь ограничить? к ендпойнту контрол плейна? к сервисам/приложениям в екс? и что с sg/nacl не работает?

Crysalis- Автор вопроса

к сервисам в eks

Crysalis
к сервисам в eks

ну так а в чем проблема allow list настроить на ingress'е ?

Crysalis
к сервисам в eks

так sg вполне работают для таких ограничений. если с nacl не хочешь связываться, то включаешь client IP preservation и вешаешь на уровне нод правила sg

Crysalis- Автор вопроса
Gennadiy Khramov
так sg вполне работают для таких ограничений. есл...

если нужхно не сохранять ip адреса клиентов, то тогда на уровне nacl правила настраивай. Либо можешь посмотреть в сторону AWS Network Firewall, но тут уже нужно будет за него платить

Crysalis- Автор вопроса
Gennadiy Khramov
так sg вполне работают для таких ограничений. есл...

а опция включена, а прилетает всё равно приватный адрес :(

Хм, а я думал nlb прозрачный в этом смысле, то есть адреса остаются.. 😳 Вроде было что-то с заголовками в alb чтобы передавать адреса..

Crysalis
а опция включена, а прилетает всё равно приватный ...

Что то не то делаете, если пресерв сорс ип на нлб включен то прилетит сорс ип 100%

Похожие вопросы

Обсуждают сегодня

Добрый вечер, Пока не совсем понимаю как наладить общение между телеграм ботом и ПО для работы с сим боксом. По самому боту так понял: - Нужен некий баланс, который можно поп...
Magic
6
сделал сайт, прикрутил в боте сайт, и виджет логина. как автоматически логинить пользователя в аккаунт(телеграм), при входе с бота?
Александра Чернивецкая
5
Объясните, пожалуйста, почему компилятор ругается на использование в условии неинициализированной переменной: int x; Task.Run(async () => { x = await somefunc(); }).Wait...
Александр
5
Ребят, подскажите, пожалуйста, почему в префиксе к ассетам, которые генерируются через фильтр | theme в шаблоне, стал вдруг появляться index.php? Вот так выглядит ссылка на а...
Виталий
1
Всем привет. Ребята, подскажите, пожалуйста. у ботов есть ограничение на отправку сообщений - 30 сообщений в секунду, эти ограничения накладываются на все сообщения? или на со...
Artem Stormageddon
4
1. https://www.kaggle.com/code/ahmadrezagholami2001/housing-estimation-linear-regression 2. https://www.kaggle.com/code/ahmadrezagholami2001/uncovering-quality-in-wines-logis...
Ahmadreza
1
Блин, ребята, сори за тупые вопросы. А можно ли как-то открыть вебапку по нажатию на кнопку в меню(которое появляется слева, команды)?
Artem Stormageddon
3
а плаксы из-под питона умеют только в комфортных условиях что-то выдавить из себя?)
Lencore
9
Но, может, есть уже проверенная? Наши требования такие: 1. Сообщения должны приходить из Инста в CRM оду 2. Должна быть возможность подключить несколько экаунтов Инстаграм. Р...
Alexander Sharoiko MSE / Александр Шаройко
13
Это может быть все-таки не флудвейт? у меня ботфазер принимает изменения и отображает даже что они изменились, на видео видно что он прислал якобы уже измененное описание, н...
OVERLINK
13
Карта сайта