我想为服务A创建外部身份验证,该身份验证侦听端口8080上的流量。我想要的是让第二个容器(服务B)与服务A在同一吊舱中运行,以拦截,评估并(也许)转发在端口8080上进入的流量“也许”表示服务B应该过滤掉未认证的每个请求。
[Service B将注入到要部署的每个服务中,以确保一致的授权并仍使部署过程保持简单。
(这怎么可能?
查找Traefik的转发身份验证模式或nginx的mod auth请求。他们俩都能满足您的需求。或更笼统地说,这种事情称为API网关,并且有很多好的网关。
东西向交通流量
这当然是可能的,您可以做自己的挎斗,也可以使用经过战斗测试的挎斗,例如特使。有一些服务网格(istio,linkerd)也可以立即提供此功能,其中一些服务网格在内部使用了envoy。与每个吊舱一起部署的边车将拦截kubernetes集群中部署的服务之间的东西向交通。
南北交通流
Ingress(nginx等),API网关(轮廓等)可以拦截南北流量并在前门提供身份验证服务。这些入口控制器中的一些也在内部使用特使。在此流程中,每个吊舱均未部署边车。