我们使用 Kubernetes 和 Azure 作为云提供商。我的问题的相关设置是我们有一个负载均衡器和一个连接到所有工作虚拟机的网络安全组。所以基本上每次我创建服务时,它都会在 LoadBalaner 前端 IP 配置中创建一条记录,并在具有指定目标端口和源 IP 地址的网络安全组中添加一条规则(限制它可以从哪个源 IP 访问哪个端口中的 VM .)
这个设置的问题是,如果我有一个使用对公共 IP 开放的端口 5000 的服务,以及另一个也使用端口 5000 但只对特定 IP 开放的服务,那么这两个服务实际上都对公共 IP 开放,因为 NSG 规则是相加的。请注意,此处的 5000 端口号并不代表实际的 VM 节点端口(尽管 Azure 是这么认为的),因为它由每台机器中的 kube-proxy 负责,它将流量发送到具有相应节点端口的正确 VM。这就是为什么让两个服务使用相同的端口并设置不同的入口规则是有意义的。
有什么办法可以缓解这个问题吗?我想不出任何架构设置可以处理具有相同目标端口的多个服务的不同入口规则。
谢谢