Igen, ezt már olvastam, meg ezt is: https://docs.openstack.org/security-guide/api-endpoints/api-endpoint-co…
De akkor sem áll össze a kép. Az endpoint csak egy URL ami mögött az adott service figyel. Mi értelme van jogosultság vagy trust zone szerint külön belépési pontnak, ha mind a három URL mögött ugyanaz a service figyel?
Honnan tudják a különböző service-ek, hogy az aktuális kérés éppen melyik URL-en jött? A service-k telepitésekor semmi ehhez kapcsolódót nem kell konfigurálni. És még ha tudja is valahogy, hogy melyik endpoint-ra jött a kérés, mit kezd ezzel az infóval? Nem enged bizonyos műveleteket? Mi alapján? Akkor minek vannak a role-ok?
Vagy minden service-ből külön példánynak kéne futnia amelyek kiszolgálnak egy-egy belépési pontot, hogy támadás esetén izolálva legyenek? Ebben látok némi logikát, de akkor miért nem elég mondjuk csak két endpoint (public és internal)? És legfőképpen miért kell az identity service public endpoint-ját használnia minden egyéb service-nek? Ez hangsúlyozva van a konfigfájlokban.