В нашей микросервисной архитектуре у нас есть docker контейнеры, которые имеют как внешнюю, так и внутреннюю (admin config) функциональность. Я хотел бы получить ваши рекомендации по ограничению внешнего доступа к конечной точке администратора.
- Отображать только внешние внешние маршруты через уровень шлюза API и не разрешать доступ к конечной точке администратора (как внешней, так и конечной точке администратора). через один и тот же порт, но по разным путям)
- Запустите две разные конечные точки сервера на контейнере (один внешний порт и отдельный порт администратора) и сопоставьте только внешний порт через API-шлюз - я чувствую, что это более безопасно, чем # 1 в отношении неправильной конфигурации API-шлюза, поскольку, вероятно, проще каким-то образом испортить шаблон URL-адреса пути, чем случайно добавить отдельный порт через API-шлюз
- Разделить внешние и административные конечные точки на два отдельных микросервиса, где микросервис «обращен наружу» будет зависеть от содержания данных, управляемых микросервисом «admin» - мне кажется, это излишне
Каковы плюсы и минусы и ваша рекомендация? Спасибо.