Bur*_*glu 6 load-balancing gcloud kubernetes nginx-ingress google-cloud-armor
首先,我使用带有 gke 舵的 Nginx 入口控制器,并使用 ModSecurity 作为 waf。尽管如此,我正在研究一种新型的waf来显示预防的结果,云甲看起来就是我正在寻找的东西。不幸的是,它仅适用于 HTTP/HTTPS 负载均衡器,但我的 Nginx 入口外部负载均衡器是 TCP 负载均衡器。据我研究,我无法将此负载均衡器的协议 TCP 转换为 HTTP/HTTPS。
Run Code Online (Sandbox Code Playgroud)- First Question, Is this conversation possible and if it is possible, Can I use cloud armor on it.
其次,我尝试创建一个新的云负载均衡器来通过它路由流量。不幸的是,即使我可以在其上激活云装甲,路由也无法按我的预期工作,因为它无论如何都会返回 502,即使它的运行状况检查看起来还不错。
最后,我尝试将 BackendConfig 与 yaml 一起使用:
apiVersion: cloud.google.com/v1beta1
kind: BackendConfig
metadata:
name: armor-backendconfig
spec:
securityPolicy:
name: "bla-armor"
apiVersion: v1
kind: Service
metadata:
annotations:
cloud.google.com/backend-config: '{"ports": {"443":"bla-backendconfig"}}'
spec:
clusterIP: xx.xx.xx.xx
externalTrafficPolicy: Local
healthCheckNodePort: xxxxxxx
loadBalancerIP: xx.xx.xxxx.xx
ports:
- name: http
nodePort: 31000
port: 80
protocol: TCP
targetPort: http
而且它不再起作用了。那是我最后的希望。这里有什么建议吗?
我遇到了和你一样的问题,我们有一个带有 nginx 入口控制器的入口,我们想用云 Armor 来保护我们的入口,但这实际上是不可能的。解决方案是创建一个 google cloud http 负载均衡器并创建网络端点组 (Negs) 作为我们的 Lb 的后端。
要创建 Negs,可以通过在 kubernetes 服务中添加注释来完成,如下所示:
cloud.google.com/neg: '{"exposed_ports": {"PORT_NUMBER":{"name": "NEG_NAME"}}}'
您必须检查防火墙规则是否允许 PORT_NUMBER 用于 tcp 协议和源 IP 范围:LB 的 130.211.0.0/22 35.191.0.0/16。您可以查看 google cloud lb 的文档,就是这样。希望能有所帮助
干杯
| 归档时间: |
|
| 查看次数: |
2670 次 |
| 最近记录: |