我们有一个充当 SFTP 服务器的 pod,需要在端口 22 上公开。必须是端口 22,才能从旧基础设施无缝过渡。此 pod 必须对外公开,可从任何设备(即0.0.0.0/0
)访问。除了特定虚拟机外,我们的 GCP 网络上的端口 22 已被屏蔽,以确保合规性,此屏蔽涵盖了我们的 k8s 节点。
我们想出了三个解决方案,但我们都不想实施,它们是:
- 使用集群作为目标标签,暴露整个集群(风险太大/不合规)
- 将 pod 限制到一个节点,并且仅公开该节点(无冗余)
- 专门为此服务创建一个新的节点池,并且仅公开该节点池(具有冗余但成本高昂)
有没有什么方法我上面没有列出,可以让我们公开这个 pod/负载均衡器而不公开网络的其他部分?