Прюветики Вот интересный вопрос: можно ли как-то залочить екс на определенные

внешние адреса?
network acl & sg не подходят
ватйлисты nginx ingress & calico тоже нет (отдаются внутренние адреса с nlb)
waf только для alb
cloudfront может что-то такое?
или закрыть eks наружу совсем и через впн внутри амазона ходить единственный вариант?

почему обязательно vpn, можно и бастион заюзать

в чем проблема с SG?

там какая-то наркомания с правилами пробовал запретить в кластерной sg, оно как-то через одно место работает может конечно надо сесть и поразбираться, но есть ли понимание, точно ли это работает? адресов порядка 30+ надо добавить в вайтлист (там ограничение на 40 есть как в nacl?)

ты к чему именно трафик хочешь ограничить? к ендпойнту контрол плейна? к сервисам/приложениям в екс? и что с sg/nacl не работает?

к сервисам в eks

ну так а в чем проблема allow list настроить на ingress'е ?

так sg вполне работают для таких ограничений. если с nacl не хочешь связываться, то включаешь client IP preservation и вешаешь на уровне нод правила sg

вот это интересно спасибо

если нужхно не сохранять ip адреса клиентов, то тогда на уровне nacl правила настраивай. Либо можешь посмотреть в сторону AWS Network Firewall, но тут уже нужно будет за него платить

а опция включена, а прилетает всё равно приватный адрес :(

Хм, а я думал nlb прозрачный в этом смысле, то есть адреса остаются.. 😳 Вроде было что-то с заголовками в alb чтобы передавать адреса..

Что то не то делаете, если пресерв сорс ип на нлб включен то прилетит сорс ип 100%