本文详细介绍了在符合IBM金融云合规要求的前提下,如何通过私有路径服务与虚拟私有端点安全地将容器化应用暴露至公网的技术方案,涉及VPC架构设计、负载均衡堆叠等关键配置。
挑战背景
根据IBM金融云框架的安全策略要求,为降低配置错误风险并控制互联网暴露面,需将工作负载与互联网组件分离至不同的VPC:工作负载VPC和边缘VPC。传统方案使用传输网关会带来复杂性,本文提出替代方案。
解决方案架构
核心组件包括:
- 云互联网服务
- 公共应用负载均衡器(ALB)
- 私有路径网络负载均衡器(PPNLB)
- 虚拟私有端点(VPE)
- OpenShift集群及其Ingress资源
实施步骤
- 集群服务部署
1
2
3
4
5
6
7
8
9
10
11
|
apiVersion: v1
kind: Service
metadata:
name: echoserverservice
spec:
selector:
app: echo-server
ports:
- protocol: TCP
port: 8080
targetPort: 8080
|
- Ingress资源配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: echoserveringressresource
spec:
rules:
- host: your-public-domain.com
http:
paths:
- path: /
backend:
service:
name: echoserverservice
port:
number: 8080
|
- 创建私有路径负载均衡器
1
2
3
4
5
6
7
8
9
10
11
12
13
|
apiVersion: v1
kind: Service
metadata:
annotations:
service.kubernetes.io/ibm-load-balancer-cloud-provider-enable-features: "private-path"
service.kubernetes.io/ibm-load-balancer-cloud-provider-ip-type: "private"
spec:
type: LoadBalancer
ports:
- name: http
port: 80
- name: https
port: 443
|
- 建立虚拟私有端点(VPE)
- 在边缘VPC创建VPE
- 绑定私有路径服务CRN
- 手动审批连接请求(如启用审核模式)
- 配置公共ALB
- 在边缘VPC创建面向公网的ALB
- 将VPE的保留IP添加为后端池成员(需添加所有3个IP)
- 配置前端监听器(80/443端口)
验证要点
- 检查PPNLB健康状态
- 确认安全组规则允许流量
- 测试端到端连通性
- 可选:配置DNS CNAME记录绑定自定义域名
该方案通过VPE和私有路径服务实现安全通信,既满足金融云合规要求,又避免了传输网关的复杂性。