Cloud Foundry 后端和公共应用程序

Question

在大多数解决方案中，一些应用程序应该是公开的，而一些应用程序应该仅供内部访问。

这种解决方案有经过验证的配置模式吗？

执行此操作的简单方法可能是创建两个 CF 空间（在同一个 CF 组织中）：

• internal space
  • 此空间中的应用程序绑定到指向internal load-balancer 的internal domain（例如：*.my-internal-cf.cloud）
  • internal domain 是主要共享域
  • internal load-balancer 无法从 Internet 访问，只能通过 Cloud Foundry 的应用访问
  • internal space 可以访问支持服务（参见安全组）
• public space:
  • 此空间中的应用程序绑定到指向public load-balancer 的public domain（例如：*.my-pub-cf.cloud）
  • public load-balancer 可从 Internet 访问，并且仅将流量传递到 public domains
  • public space 对支持服务的访问权限有限，甚至只能访问来自internal space 的应用程序（参见安全组）

此配置安全吗？

可以更轻松地完成吗？

Answer 1

此处对组织和空间的使用与应用的公开/私有无关。组织和空间用于在内部组织您的应用程序并通过 cf cli 限制对这些应用程序的访问。您可以使用对您的团队和公司有意义的任何结构。

要使应用程序公开/私有，这完全取决于路由的使用。如果您想公开访问应用程序，则将公共路由绑定到应用程序（即不是内部路由）。如果您不希望应用程序公开，请绑定internal route 或根本不绑定路由。如果绑定内部路由，可以使用the platform's DNS-based discovery，也可以自带，比如Eureka或者Consul。如果您不绑定路由，您将通过服务进行通信，例如消息代理。

您甚至可以通过policies 控制容器到容器网络上两个应用程序之间的流量。这允许您根据类型和端口允许或限制流量。