Keycloak. Standalone-HA в k8s и закрытие админки на ingress-e с переводом на localhost

[toxella]

Можно для админки на ingress сделать nginx.ingress.kubernetes.io/whitelist-source-range, чтобы ограничить доступ только с IP-адресов подсети админов, если сеть достаточно сегментирована

[panablack]

Да, это сработает, если по пути нет nat-ов) Идея интересная и применима не только в данном кейсе, спасибо)

[ggo]

а повесить админку на отдельный ингресс или игресс-контроллер?

[panablack]

Цель была наоборот сделать так что бы админки не было на игресс-контроллере

[ggo]

зачем админку убираем с публичного домена - понимаю.
зачем админку убираем совсем с ингресс-контроллера - не понимаю.

ну да ладно...

[panablack]

После всех настроек, админка кейклока нужна редко...поэтому если есть возможность ее закрыть, то лучше закрыть

[Inlore]

С точки зрения стандартизации того, как предоставлять доступ к админской части сервисов, которые крутятся в кубере, я согласен с @ggo- в таком случае лучше иметь 2 ингресс контроллера, каждый из которых будет развёрнут на своей группе фронтовых нод, к адресам которых будут уже настроены разные сетевые ACL. Тогда на каждую подобную админку/сервис будет нормальная точка входа (которую можно ещё и обязательной аутентификацией через SSO дополнительно прикрыть), и не надо будет иметь ни сетевого доступа, ни токена к API кубера, чтобы выполнять port-forward

Делать доступ через port-forward - это, имхо, такое единичное наколеночное решение. Лучше выработать и применять какой-то удобный единый стандарт (ну а так как это блог "Лаборатории Касперского", то лично я ожидаю, что там такой стандарт уже есть :) )