Кубернетес внутренний вход

Question

Я пробую Kubernetes в среде Azure (AKS).

У меня есть вход nginx, развернутый и подключенный к Интернету через общедоступный ip и балансировщик нагрузки Azure.Он используется для предоставления общедоступных / front-сервисов.

Моя проблема в том, что я хотел бы развернуть «back» -сервисы, не подключенные к Интернету.Моим первым предположением было бы развернуть второй вход и выставить его на внутреннем балансировщике нагрузки, я прав?

Но что, если моим фронтальным службам необходимо использовать обратные сервисы, могу ли я использовать его во втором входе?(использовать конфигурацию nginx, ssl-разгрузку и т. д.), но не выполнять обратную передачу во внутренний балансировщик нагрузки.Какая будет конфигурация DNS в этом случае?

Answer 1

Входные контроллеры предназначены для внешнего трафика.Для связи в кластере лучше всего использовать Kubernetes Services , которая настроит DNS внутри кластера.С помощью службы вы сможете вызывать свой бэкэнд-сервис, не обращаясь к внешнему ресурсу, и балансировка нагрузки будет выполняться внутри кластера k8s.Ничто не мешает вам развернуть модуль nginx или внедрить его в качестве вспомогательного модуля в ваш модуль служебного обслуживания и использовать его в качестве обратного прокси-сервера, но действительно ли вы используете конфигурацию nginx и взаимный протокол TLS для взаимодействия в кластере?Если вам действительно нужен взаимный TLS, вам лучше взглянуть на что-то вроде Istio , но это, вероятно, излишне для вашего варианта использования.

Answer 2

Вам не нужно развертывать вторичную входную службу.Все, что вам нужно сделать, это сделать вашу конечную точку службы [IP] частной, и они должны иметь возможность общаться только с вашей входящей службой.

Итак, как создать частный IP-адрес: https://docs.microsoft.com/en-us/azure/aks/ingress-internal-ip