問題タブ [gke-networking]

次のような Google Cloud プロジェクトがあります。

1. 内部ネットワーク。
2. また、この内部ネットワークを使用して Kubernetes をデプロイしました。
3. サービスを使用してデプロイをデプロイしました (外部 IP なし)。

サービス:

ここで、同じ内部ネットワーク内に別の VM インスタンスもデプロイしました。この VM がポート 6379 で IP: 10.0.0.213 にアクセスできるようにしたいのですが、うまくいきません。

ここで、それを可能にするためにポート転送する必要があることを読みました。しかし、この VM で自分の kubernetes クラスターの資格情報を公開したくありません。

LoadBalacer は、内部ネットワーク内で機能する外部 IP を提供しますが、インターネットからも機能します。

では、Google の内部ネットワークだけに公開するにはどうすればよいでしょうか。

GCP には、GKE ロードバランサ用の独自のマネージド Ingress コントローラがあります。Nginx Ingressコントローラーをデプロイして活用するためのドキュメントも見ました。

https://cloud.google.com/community/tutorials/nginx-ingress-gke

組み込みの Ingress コントローラーは、ロード バランサー レベルで SSL ターミネーションも処理します。Nginx を GKE の Ingress 制御候補にする特定のトラフィック処理機能はありますか?

標準の Google App Engine (GAE) 環境を使用しています。この環境は公共のインターネットに公開されているため、ユーザーは接続を確立できます。一方、私はプライベート GKE クラスタを持っています (パブリック エンドポイント アクセスなし)。このシナリオでは、GAE 内のアプリは GKE クラスターとの接続を確立する必要がありますが、GKE クラスターを公共のインターネットに公開したくないため、GKE クラスターを非公開にする必要があります。

GAE 内のアプリケーションがプライベート GKE クラスタに安全にアクセスできるように、内部ロード バランサまたはその間のプロキシを使用して実装できることを顧客に伝えました。

しかし、顧客はそれらの代替手段を信頼していません。

GAE のアプリケーションからプライベート GKE クラスタへの安全な接続を許可するために必要な代替手段は何ですか?

存在する場合、それらの接続 (GAE から GKE へ) を安全にする引数を説明していただけますか?

前もって感謝します！

これら 2 の間で混乱しています。どちらも Istio アドオンが有効になっている GKE クラスタでプロビジョニングされました。どちらも LoadBalancer タイプですが、別の名前空間にあります。彼らのユースケースは何ですか？

gke-system名前空間

istio-system名前空間

Google からのこの例のように:

https://cloud.google.com/solutions/integrating-https-load-balancing-with-istio-and-cloud-run-for-anthos-deployed-on-gke

istio-ingressgateway.istio-system.svc.cluster.localではなく、istio-ingress.gke-system.svc.cluster.localを指しています。