Kubernetes для обеспечения безопасности конечных точек?

Question

Итак, у меня очень маленькая архитектура микросервиса, построенная с использованием службы обнаружения Eureka. Проблема, с которой я сейчас сталкиваюсь, заключается в том, что я хочу, чтобы только мои конечные точки службы принимали запрос от моего шлюза API, поскольку сейчас вы можете просто сделать запрос прямо в службу и нажать эту конечную точку службы. Это проблема, которую Kubernetes решил бы? Или есть более практичный способ сделать это?

Answer 1

В kubernetes сервисы, которые вы хотите предоставить для внутреннего использования, используют тип сервиса ClusterIP.В любом случае это значение по умолчанию, что означает, что сервисы доступны только внутри кластера.Ваш шлюз API представлен как тип службы балансировки нагрузки, который затем принимает трафик из внешнего мира и взаимодействует со службами внутри.В зависимости от вашего облачного провайдера вы можете использовать брандмауэр перед балансировщиком нагрузки, поскольку вы можете поставить под угрозу безопасность, просто выставив балансировщик нагрузки.Например, лазурное kubernetes вы можете использовать шлюз приложений.Вы также можете заменить шлюз API на входной контроллер.это очень мощный контроллер обратного прокси, который вы можете напрямую подключать к трафику и который будет взаимодействовать с вашими сервисами внутри компании.

Вы действительно должны понимать концепции, поэтому я бы рекомендовал следующие ссылки

https://kubernetes.io/docs/concepts/services-networking/service/

https://blog.getambassador.io/kubernetes-ingress-nodeport-load-balancers-and-ingress-controllers-6e29f1c44f2d

Answer 2

Вы должны использовать сетевые политики для управления трафиком между сервисами.