我正在Kubernetes中设置一个负载均衡器,它只允许访问授权的IP。我正在考虑APIGEE在客户端请求到达负载均衡器或服务端点之前使用抽象层来管理所有身份验证,速率限制和其他过滤器。
我知道在Apigee中使用'Access Control'策略我可以将Apigee端点的访问限制为仅授权的IP。因此,我想仅允许通过Apigee端点的Kubernetes服务(或负载均衡器)中的流量。简而言之,在负载均衡器中的授权网络中添加Apigee端点IP是我在此时考虑的相同解决方案。
我经历了一些文章和问题,我仍然不确定Apigee端点的IP地址(从中发送请求到Kubernetes负载均衡器)是否是静态的,以及如何找到它。我尝试发送一个卷曲-v,我得到了端点的公共IP,也可以从https://ipinfo.info/html/ip_checker.php检索
总结一下,这是我的问题: 1. APIGEE将请求发送到端点的IP地址是固定还是更改?如果改变,多久一次? 2. APIGEE中每个代理是否有固定的IP范围?
我发现这是一个简单的问题。对此的回答是'是的,Apigee来源的IP可以改变'。 变化的频率应该非常低,但在极少数情况下,IP可能会发生变化。
与IP白名单相比,使用双向TLS可以更好地解决您所描述的问题。
有关我们如何配置Apigee Edge和后端服务器之间的双向TLS的更多信息,请访问here。
在Apigee社区发布相同的问题帮助我得出结论,分配给Apigee代理的IP可以更改。这种情况很少发生,但只有在云数据中心中的某个相关硬件计算机出现问题时,它们才会消失。这种情况每年发生不到一次,而且从来都不是计划中的变化。
因此,在后端的防火墙中使用IP白名单仅允许通过Apigee Edge代理进行请求不是最佳解决方案。双向TLS是使用启用的客户端身份验证保护后端服务的最佳方法。
Here是关于community.apigee.com问题的链接