如何自定义由将 AWS NLB 用于 TCP 服务的 Kubernetes LoadBalancer 类型服务创建的安全组入口规则
How to customize the Security Group Ingress Rules created by a Kubernetes LoadBalancer type service that uses AWS NLB for TCP services
我有一个 TCP 服务,它通过 AWS EKS 集群上的 Kubernetes 部署运行,并通过使用以下定义的 LoadBalancer 类型的服务公开到互联网
apiVersion: v1
kind: Service
metadata:
annotations:
service.beta.kubernetes.io/aws-load-balancer-type: nlb
service.beta.kubernetes.io/aws-load-balancer-backend-protocol: tcp
name: tcpservice
spec:
selector:
app: tcpapp
type: LoadBalancer
ports:
- port: 4453
targetPort: 4453
name: tcpport
因为负载均衡器类型是 NLB,所以应用到节点本身的安全组必须明确允许入口流量。安全组是这样创建的:
✔ ~$ aws ec2 describe-security-groups --group-ids sg-2645567125762c6e2 | jq '.SecurityGroups[0].IpPermissions[0]'
{
"FromPort": 32163,
"IpProtocol": "tcp",
"IpRanges": [
{
"CidrIp": "10.20.0.0/20",
"Description": "kubernetes.io/rule/nlb/health=afd5427b6058811ea989512627425a2e"
},
{
"CidrIp": "0.0.0.0/0",
"Description": "kubernetes.io/rule/nlb/client=afd5427b6058811ea989512627425a2e"
}
],
"Ipv6Ranges": [],
"PrefixListIds": [],
"ToPort": 32163,
"UserIdGroupPairs": []
}
所以现在我需要将“0.0.0.0/0”中的 CidrIp 更改为不同的块。我如何使用 kubernetes 清单执行此操作?我查看了 NetworkPolicy 和 Calico 文档,但这控制了 pods 而非服务的流量。我可以使用 AWS API 或手动更改它,但重新部署服务时这些更改会丢失。
您需要在服务清单中添加 loadBalancerSourceRanges 参数。
来自文档:
为了限制哪些客户端 IP 可以访问网络负载均衡器,请指定 loadBalancerSourceRanges。
spec:
loadBalancerSourceRanges:
- "143.231.0.0/16"
https://v1-13.docs.kubernetes.io/docs/concepts/services-networking/service/
如何实现代码可以在这里找到:
我有一个 TCP 服务,它通过 AWS EKS 集群上的 Kubernetes 部署运行,并通过使用以下定义的 LoadBalancer 类型的服务公开到互联网
apiVersion: v1
kind: Service
metadata:
annotations:
service.beta.kubernetes.io/aws-load-balancer-type: nlb
service.beta.kubernetes.io/aws-load-balancer-backend-protocol: tcp
name: tcpservice
spec:
selector:
app: tcpapp
type: LoadBalancer
ports:
- port: 4453
targetPort: 4453
name: tcpport
因为负载均衡器类型是 NLB,所以应用到节点本身的安全组必须明确允许入口流量。安全组是这样创建的:
✔ ~$ aws ec2 describe-security-groups --group-ids sg-2645567125762c6e2 | jq '.SecurityGroups[0].IpPermissions[0]'
{
"FromPort": 32163,
"IpProtocol": "tcp",
"IpRanges": [
{
"CidrIp": "10.20.0.0/20",
"Description": "kubernetes.io/rule/nlb/health=afd5427b6058811ea989512627425a2e"
},
{
"CidrIp": "0.0.0.0/0",
"Description": "kubernetes.io/rule/nlb/client=afd5427b6058811ea989512627425a2e"
}
],
"Ipv6Ranges": [],
"PrefixListIds": [],
"ToPort": 32163,
"UserIdGroupPairs": []
}
所以现在我需要将“0.0.0.0/0”中的 CidrIp 更改为不同的块。我如何使用 kubernetes 清单执行此操作?我查看了 NetworkPolicy 和 Calico 文档,但这控制了 pods 而非服务的流量。我可以使用 AWS API 或手动更改它,但重新部署服务时这些更改会丢失。
您需要在服务清单中添加 loadBalancerSourceRanges 参数。
来自文档:
为了限制哪些客户端 IP 可以访问网络负载均衡器,请指定 loadBalancerSourceRanges。
spec:
loadBalancerSourceRanges:
- "143.231.0.0/16"
https://v1-13.docs.kubernetes.io/docs/concepts/services-networking/service/
如何实现代码可以在这里找到: