这个问题涉及 GCP 上的防火墙规则。
我在同一个集群上运行开发和生产服务器,仅通过命名空间将它们分开。对于开发,我公开了一个节点端口(例如 8000)并创建了一条 GCP 防火墙规则来访问开发服务器。
这危险吗?因为防火墙规则将允许访问集群上端口 8000 的所有 pod。
答案1
防火墙仅限于您的节点,范围如下 30000–32767。正如 @John Hanley 提到的,将端口访问限制为特定的 CIDR 块地址。因此,以端口 30000 为例,在所有节点(虚拟机)上打开一个特定端口,发送到此端口的任何流量都会转发到服务,该服务仅为部分 Pod 提供服务,而不是所有 Pod。