我有一个 EKS 集群在一个 VPC 中运行,只有公司网络流量。我使用 TLS 将我的应用程序暴露给 ALB(使用 AWS Load Balancer Controller 和 k8s Service + Ingress)。我还有另一个具有公共访问权限的 VPC。这两个 VPC 有一个对等连接。
在公共 VPC 内创建 LB 以使其指向私有 VPC 上的应用程序的最佳实践是什么?公共 LB 应该有一个 DNS 域,而私有 LB 应该有另一个。
寻求一般建议。到目前为止,我有一个非常糟糕的解决方案,即我在公共 VPC 上有一个 ALB,它直接指向私有 VPC 内的 Kubernetes 服务的 IP。
感谢您的帮助!
总体架构
附件中您可以找到整体架构。正如我在问题的初始评论中所述,我最终使用了具有 n 个静态私有 IP(1 IP / 子网)的 NLB(由 AWS Load Balancer Controller 提供)。之后,我在公共 VPC 中配置了 ALB 以指向 NLB。
每个 ALB 都使用自己的 TLS 证书终止入口,因此没有本地 https 流量。
注意:VPC 对等连接对于此设置至关重要。如果您不想/无法创建 VPC 对等连接,请听取 Tim 的建议并研究 Privatelink。