1

集群外的client、应用等访问集群内，避免外部请求通过 NodePort 访问存在单点故障，可提供高性能的网络访问

如：

* HyperBase

* inceptor server

* KunDB

* HDFS

* 节点断电：适用于所有组件的场景

由于通过NodePort访问需要指定一个节点的IP，若节点异常，便无法通过 NodePort 进行访问。

但SLB 支持虚拟 IP 漂移的功能，若通过SLB访问，可以直接将流量转发至正常运行的节点。

1、通过 NodePort 对外提供访问入口

2、通过 SLB 对外提供访问入口，VIP从故障节点漂移到正常节点。

1、部署 KunDB，KunDB 的 POD 被部署在：

* node-172-16-124-14

* node-172-16-124-12

* node-172-16-124-11

2、创建 SLB，然后：

* 选择关联的云产品：KunDB

* 选择 workload：kundb-zcpxq

* 选择映射端口：3306

3、选择虚拟的 IP：172.111.8.88 地址和外部端口：8999 ，完成 SLB 的创建和组件的绑定；

4、若绑定的 SLB 下 VIP 所在的节点发生故障；

5、外部请求通过 IP+Port：172.111.8.88:8999 ，访问 KunDB 返回正常；

2

需要识别真实来源 IP，进行访问安全限制

* Midgard 网关

* Audit 审计

* 隐私计算区

为识别外部请求的来源 IP，增强网络攻击防御的准确性，可以：

* 对安全来源设置白名单（通常简称：可信 IP）

* 对爬虫、恶意访问进行黑名单限制

1、部署 KunDB，KunDB 的 POD 被部署在：

* node-172-16-124-14

* node-172-16-124-12

* node-172-16-124-11

2、创建 SLB，然后：

* 选择关联的云产品：KunDB

* 选择 workload：kundb-zcpxq

* 选择映射端口：3306

3、选择虚拟的 IP：172.111.8.88 地址和外部端口：8999；

4、配置访问白名单：180.149.134.141，或者配置自己电脑的 IP，完成 SLB 的创建和组件的绑定；

5、通过非：180.149.134.141 的地址来访问：SLB 172.111.8.88：8999 ，访问返回显示：403 Forbidden；

3

客户对 3w+ 端口的使用会有限制，比如说部分企业防护网会关闭 NodePort 端口

由于 NodePort 的 3w 端口有限，只能用 30000 - 32767，部分企业对端口的使用有划分区间，使用NodePort可能不能满足客户的需求，带来安全合规问题。

-