在我的公司,我们很少有公共(public)网站和许多内部网络应用程序。目前它们在不同的 AWS 安全组中运行。
是否可以在同一个 OpenShift 集群上运行这两种服务并确保无法从 Internet 访问内部服务?
谢谢!
最佳答案
解决的传统(?)方法是通过指向集群上 NodePort 的面向 Internet 的 ELB/ALB。我个人没试过Service
的 kind: LoadBalancer
从 1.2 开始可以使用它的功能,但我知道 kubernetes 有一个 批号 AWS 上的用户数量,所以现在它运行良好是合理的。
你也可以运行你自己的 Ingress Controller,如果你不想处理 ELB 头痛的话,其中一些 Controller 支持 ip 白/黑列表、身份验证、SSL/TLS,所有花哨的玩具。
如果您还没有考虑,Calico SDN支持集群内网络策略,因此您还可以应用额外级别的锁定,以确保没有 Internet 应用程序超出其允许的网络路径;因此,安全组向下移动到集群中。
关于kubernetes - 同一 OpenShift 集群上的公共(public)服务和 Intranet 服务,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47067676/