Cloud Foundry 后端和 public 应用程序
Cloud Foundry back-end and public apps
在大多数解决方案中,一些应用程序应该 public 而一些应用程序应该只能在内部访问。
是否有经过验证的这种解决方案的配置模式?
执行此操作的简单方法可能是创建两个 CF space(在同一个 CF 组织中):
internal space
- 此 space 中的应用程序绑定到指向
internal load-balancer 的 internal domain(例如:*.my-internal-cf.cloud)
internal domain 是主要共享域internal load-balancer 无法从 Internet 访问,只能由来自 Cloud Foundry 的应用程序访问internal space 可以访问支持服务(cf 安全组)
-
public space:
- 此 space 中的应用程序绑定到指向
public load-balancer 的 public domain(例如:*.my-pub-cf.cloud)
public load-balancer 可从 Internet 访问,并且仅将流量传递给 public domainspublic space 对支持服务的访问权限有限,甚至只能访问来自 internal space(cf 安全组)
这个配置安全吗?
可以更简单地完成吗?
此处使用组织和空间与 public/private 应用无关。组织和空间用于在内部组织您的应用程序并通过 cf cli 限制对这些应用程序的访问。您可以使用对您的团队和公司有意义的任何结构。
做一个应用public/private,全靠路由的使用。如果你想要 public 访问应用程序,你可以将 public 路由绑定到应用程序(即不是内部路由)。如果您不希望某个应用程序成为 public,请绑定一个 internal route or don't bind a route at all. If you bind an internal route, you can use the platform's DNS-based discovery 或使用您自己的应用程序,例如 Eureka 或 Consul。如果您不绑定路由,您将通过服务进行通信,例如消息代理。
您甚至可以通过 policies 控制容器到容器网络上两个应用程序之间的流量。这允许您根据类型和端口允许或限制流量。
在大多数解决方案中,一些应用程序应该 public 而一些应用程序应该只能在内部访问。
是否有经过验证的这种解决方案的配置模式?
执行此操作的简单方法可能是创建两个 CF space(在同一个 CF 组织中):
internal space- 此 space 中的应用程序绑定到指向
internal load-balancer 的 internal domain是主要共享域internal load-balancer无法从 Internet 访问,只能由来自 Cloud Foundry 的应用程序访问internal space可以访问支持服务(cf 安全组)
internal domain(例如:*.my-internal-cf.cloud)- 此 space 中的应用程序绑定到指向
-
public space:- 此 space 中的应用程序绑定到指向
public load-balancer 的 public load-balancer可从 Internet 访问,并且仅将流量传递给public domainspublic space对支持服务的访问权限有限,甚至只能访问来自internal space(cf 安全组) 的应用程序
public domain(例如:*.my-pub-cf.cloud) - 此 space 中的应用程序绑定到指向
这个配置安全吗?
可以更简单地完成吗?
此处使用组织和空间与 public/private 应用无关。组织和空间用于在内部组织您的应用程序并通过 cf cli 限制对这些应用程序的访问。您可以使用对您的团队和公司有意义的任何结构。
做一个应用public/private,全靠路由的使用。如果你想要 public 访问应用程序,你可以将 public 路由绑定到应用程序(即不是内部路由)。如果您不希望某个应用程序成为 public,请绑定一个 internal route or don't bind a route at all. If you bind an internal route, you can use the platform's DNS-based discovery 或使用您自己的应用程序,例如 Eureka 或 Consul。如果您不绑定路由,您将通过服务进行通信,例如消息代理。
您甚至可以通过 policies 控制容器到容器网络上两个应用程序之间的流量。这允许您根据类型和端口允许或限制流量。