在我的公司,我们有很少的公共网站和许多内部网络应用程序。目前,它们正在不同的AWS安全组中运行。
是否可以在同一个OpenShift集群上运行这两种服务,并确保无法从Internet访问内部服务?
谢谢!
答案 0 :(得分:1)
解决的传统(?)方式是通过面向Internet的ELB / ALB指向集群上的NodePort。我个人没有试过Service kind: LoadBalancer自{1.2}以后能够说出它的功能,但我知道kubernetes在AWS上有很多的用户,所以它现在可以正常工作。
你也可以运行你自己的Ingress Controller,其中一些支持ip白/黑名单,身份验证,SSL / TLS,所有花哨的玩具,如果你不想处理ELB头痛。
如果您还没有考虑它,Calico SDN支持群集内网络策略,那么您还可以应用额外级别的锁定功能,以确保没有互联网应用突破它允许的网络路径;因此,安全组向下移动到集群中。