本来是service->pods

不过因为k8s在service一层能做（肯做）的东西太弱
最多就是面向Ip做个简单的LoaderBalancer，网络层无脑转发



所以业务需求比较高的（ssl加密/鉴权/业务级路由...）
还会在一个（或多个）service前面加一层ingress


一般拿nginx之类的跑
绑定dns（和ssl证书），鉴权诸如此类都放在这一层
一个单一url暴露出作为服务调用入口


其他内网服务就可以拿着url发http(s)调用了



如果是需要暴露到公网，还要再对接防火墙策略






【 在 childewuque (childewuque) 的大作中提到: 】
: 你这个单独的东东是指的  外部请求通过nginx转发到k8s内， 每个服务都有一个前置的gateway/类似的代理？
--
FROM 116.233.90.*