Ich habe einen SOLR-Cluster mit einem Dienst vom Typ LoadBalancer eingerichtet, um Port 8983 freizugeben. Eine Voraussetzung ist die SSL-Terminierung, daher habe ich einen Nginx-Ingress-Controller mit einer Route zum Back-End-Dienst eingerichtet. All dies funktioniert wie erwartet, ich möchte den Zugriff jetzt jedoch auf nur bestimmte IPs beschränken.
Als ich versuchte, die Annotation nginx.ingress.kubernetes.io/whitelist-source-range zu verwenden, bemerkte ich, dass die Anfragen alle von der internen IP des Knotens und nicht wie erwartet vom Client kommen. Bedeutet dies, dass der Datenverkehr gefiltert werden muss, bevor er den AKS-Cluster erreicht? Wenn ja, was ist die beste Methode dafür, da es so aussieht, als ob die Änderung der automatisch erstellten NSG nicht empfohlen wird.
Antwort1
Damit die externe IP ordnungsgemäß durchgelassen wird und Sie sie filtern können, müssen Sie das Feld service.spec.externalTrafficPolicy in Nginx auf „Lokal“ setzen.