在我的公司中，我们只有很少的公共(public)网站和许多内部Web应用程序。当前，它们正在不同的AWS安全组中运行。

是否可以在同一OpenShift群集上运行两种服务，并确保内部服务不能从Internet访问？

谢谢!

解决该问题的传统方法是通过指向群集上NodePort的面向Internet的ELB / ALB。我个人从1.2开始就没有尝试过Service的kind: LoadBalancer来说明其功能，但是我确实知道kubernetes在AWS上有一个很多的用户，所以现在看来​​它可以正常工作。

您也可以运行自己的Ingress Controller，如果您不想让ELB头疼的话，其中一些支持IP白名单/黑名单，身份验证，SSL / TLS和所有精美的玩具。

如果尚未考虑，Calico SDN支持群集内网络策略，因此您还可以应用额外级别的锁定，以确保Internet应用程序不会超出其允许的网络路径；因此，安全组向下移动到群集中。