在我们当前的目标架构中,我们希望使用私有(private) AKS 集群,并在其前面设置防火墙。集群的唯一公共(public)入口点是公共(public)防火墙 IP。
流程总结: 公共(public) IP 防火墙 -> DNAT -> 具有私有(private) IP 的入口 Controller NGINX
请不要质疑入口处的防火墙,这是严格要求。
选项
- 为入口动态分配私有(private) IP:缺点是,如果重新创建/重新启动入口 Controller 并分配不同的私有(private) IP,则防火墙 DNAT 规则可能会被破坏。
- 为入口分配静态私有(private) IP:缺点是这是硬编码在 list 文件中的,并且该 IP 可能已被 AKS 子网中的其他资源(例如节点)占用
- 分配静态公共(public) IP 地址。似乎是解决 1) 和 2) 问题的最佳选择,但我们更倾向于在集群内使用私有(private) IP,因为入口 IP 不需要公开。
- 使用某种私有(private) DNS FQDN 作为入口,但防火墙似乎无法轻松解析,而且一般来说设置看起来很复杂。
最佳答案
如何在 AKS 中创建内部负载均衡器并将其用作防火墙和入口 Controller 之间的入口点?
关于azure - AKS 入口私有(private)静态 IP,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/74460742/