티스토리 뷰

NLB에는 Security Group적용 불가

아래와 같이 Service Spec에 loadBalancerSourceRanges 를 선언하여 제한 할수 있다

loadBalancerSourceRanges:
  - "143.231.0.0/16"

다만 위 방법을 사용하려면 SNAT가 걸리면 안되는데

기본적으로는 nlb에 SNAT가 걸리게 되어있음

서비스에 아래의 어노테이션을 추가하여 SNAT가 안걸리도록 설정한다

service.beta.kubernetes.io/aws-load-balancer-target-group-attributes: preserve_client_ip.enabled=true

위와같이 2가지 설정을하면 nlb오브젝트 자체에 sourceranges제한을 걸어줌으로써 sg와 동일한 효과를 낼 수 있음

정확히 이야기하면 해당 설정을 하면 클러스터에서 사용하는 공통 SG에 정책(해당 아이피와 서비스에 사용하는 PORT Allow 정책)이 들어가게된다

 

 

(매뉴얼내용 참고)

“NLB ip 모드를 사용하는 경우 기본적으로 .spec.loadBalancerSourceRanges필드가 무시됩니다. ”

'클라우드 > 쿠버네티스' 카테고리의 다른 글

EKS 기본 SC는 CSI가 아님  (0) 2022.05.24
Pod Disruption Budgets  (0) 2022.05.24
EKS의 CNI비교 및 선택  (0) 2022.05.24
secret data 수동으로 base64인코딩시 주의점  (0) 2022.05.24
PVC Extend  (0) 2022.05.24
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
글 보관함