我正在配置一个GCloud Armor来限制访问我的API,该API部署在GKE后面和入口。有些请求直接来自前端,它们也部署在GKE集群中,我需要允许这些请求。这个前端目前有2个pod,我已经测试过,当我允许在GCloud Armor部署这些pod的节点的外部ip时,它可以工作。当然,这不是一个有效的解决方案,因为pod可能从节点更改,节点也是不稳定的。
我也有一个前端服务的入口,它有一个静态IP,但是允许这个IP在GCloud Armor中不起作用,仍然阻止请求。
解决这个问题的最好办法是什么?是否有任何选项设置前端负载均衡器IP作为源IP?
提前感谢!
作为解决方案,您可以创建私有GKE集群https://cloud.google.com/kubernetes-engine/docs/how-to/private-clusters
和允许CloudNAT IP。
我使用kubernetes服务作为前端服务器api调用的端点来解决这个问题。这不是我一开始想要的,而是一个变通方法。