主要观点：提供在不违反 IBM Cloud for Financial Services 合规性的情况下，将容器化应用暴露到互联网的方法指南，重点介绍使用 IBM Cloud Framework for Financial Services 和 IBM Cloud Private Path Service 来安全地暴露应用，通过将工作负载和面向互联网的组件分离到不同的 VPC 来降低配置风险和限制互联网暴露，利用 VPE 和 Private Path 简化设置并提供对流量流的精细控制，以及详细阐述了从部署应用到创建各种资源（如 Private Path Load Balancer、Private Path Service、Virtual Private Endpoint、Public ALB 等）的步骤。

关键信息：

• 需遵循安全政策控制信息流动，IBM Cloud for Financial Services 推荐将工作负载和互联网组件分离到不同 VPC。
• 利用 VPE 和 Private Path 帮助公共和私有负载均衡器堆叠，增强安全性。
• 部署应用到集群，创建服务、配置 Ingress 资源、创建 Private Path Load Balancer 等步骤来配置架构。
• 创建 Private Path Service 以通过私有 IBM Cloud 网络从同一区域的任何 VPC 访问后端服务。
• 创建 Virtual Private Endpoint 以从其他 VPC 私有访问 Private Path Service。
• 创建 Public ALB 并将 Virtual Private Endpoint 添加到其后端池。

重要细节：

• 默认创建负载均衡器时会自动在 VPC 外提供应用程序负载均衡器，通过私有 NodePorts 路由流量。
• 创建私有集群并使用专用“Edge VPC”来处理和过滤互联网流量可保持强边界。
• 在创建 LoadBalancer 服务定义时要包含“private-path”和“子网 ID”注释，注意 Ingress 资源监听的端口。
• 设置 Private Path Network Load Balancer 的池健康检查，创建 Public ALB 时要指定为公共面向。
• 添加 Virtual Private Endpoint 到 ALB 后端池时选择“Other devices”选项并手动输入 IP 和端口。
• 可添加 CNAME 记录将自定义域名映射到 ALB 的完全限定域名。