我对GCP很陌生。目前,我已经在GKE中部署了一个helloworld容器。这个hello世界由外部负载均衡器支持,这意味着只要互联网上的每个人都有自己的IP地址,他们就可以访问它。
我想将对此端点的访问限制为仅限作为我的项目或组织一部分的经过身份验证的用户(通过Google SSO(。有办法做到这一点吗?
您需要集成IAP(身份感知代理(
何时使用IAP
如果要强制应用程序和资源的访问控制策略,请使用IAP。IAP使用已签名的标头或应用程序引擎标准环境用户API来保护您的应用程序。使用IAP,您可以设置基于组的应用程序访问:资源可以由员工访问,承包商访问,也可以仅由特定部门访问。
为GKE启用IAP
IAP是通过Ingress为GKE集成的。此集成使您能够控制员工的资源级别访问,而不是使用VPN。
在GKE集群中,传入流量由HTTP(S(负载平衡(Cloud Load Balancing的一个组件(处理。HTTP(S(负载均衡器通常由Kubernetes Ingress控制器配置。Ingress控制器从与一个或多个Service对象关联的Kubernetes Ingress对象获取配置信息。每个服务对象都保存路由信息,用于将传入请求引导到特定的Pod和端口
从Kubernetes 1.10.5-gke.3版本开始,您可以通过将服务与BackendConfig对象关联来添加负载均衡器的配置。BackendConfig是一个自定义资源定义(CRD(,它在kubernetes/ingress-gce存储库中定义。
Kubernetes Ingress控制器从BackendConfig读取配置信息,并相应地设置负载均衡器。BackendConfig保存特定于云负载平衡的配置信息,并使您能够为每个HTTP(S(负载平衡后端服务定义单独的配置。