Kubernetes用于保护服务端点？

Question

因此，我有一个使用Eureka服务发现构建的非常小的微服务架构。我现在面临的问题是，我只希望我的服务端点接受来自我的api网关的请求，因为现在您可以直接向服务发出请求并命中该服务端点。这是Kubernetes会解决的问题吗？或者，有没有更实际的方法来做到这一点？

Answer 1

您应该使用网络策略来控制服务之间的流量。

Answer 2

在kubernetes中，您希望在内部公开的服务使用服务类型ClusterIP。无论如何，这是默认的，这意味着服务只能在集群内访问。您的api网关被公开为负载均衡器服务类型，然后从外部获取流量，并在内部与服务进行对话。根据您的云提供商，您可以在负载均衡器前面使用防火墙，因为您可以通过简单地暴露负载均衡器来损害安全性。例如azure kubernetes，你可以使用应用程序网关。您也可以将api网关替换为入口控制器。这是一个非常强大的反向代理控制器，您可以将其直接公开给流量，并在内部与您的服务进行对话。

你真的需要理解概念，所以我建议你使用下面的链接

https://kubernetes.io/docs/concepts/services-networking/service/

https://blog.getambassador.io/kubernetes-ingress-nodeport-load-balancers-and-ingress-controllers-6e29f1c44f2d