Tenho um cluster EKS em execução em uma VPC com tráfego de rede corporativa apenas. Tenho meu aplicativo exposto com um ALB (usando AWS Load Balancer Controller com k8s Service + Ingress) usando TLS. Tenho outra VPC com acesso público. As 2 VPCs têm uma conexão de peering.
Quais são as melhores práticas para criar um LB dentro da VPC pública para que ele aponte para o aplicativo na VPC privada? O LB público deve ter um domínio DNS, enquanto o LB privado deve ter outro.
Procurando por conselhos gerais. Até agora, tenho uma solução muito ruim, onde tenho um ALB na VPC pública e ele aponta diretamente para o IP do Kubernetes Service dentro da VPC privada.
Obrigado pela ajuda!
arquitetura geral
Em anexo você pode encontrar a arquitetura geral. Conforme descrito no meu comentário inicial sobre minha pergunta, acabei usando um NLB (fornecido pelo AWS Load Balancer Controller) com n IPs privados estáticos (1 IP / sub-rede). Depois disso, configurei o ALB na VPC pública para apontar para o NLB.
Cada ALB encerra a entrada com seu próprio certificado TLS, portanto não há tráfego https local.
Observação: uma conexão de peering VPC é crucial para esta configuração. Se você não quiser/não puder criar uma conexão de peering VPC, siga o conselho de Tim e dê uma olhada no Privatelink.