現在、下記サイトに従ってGCP環境にIngressとManagedCertificateを入れようとしています。

https://cloud.google.com/kubernetes-engine/docs/how-to/managed-certs

この手順に従うと、下記のようにServiceリソースのtypeをNodePortにする必要があるようです。

apiVersion: v1
kind: Service
metadata:
  name: mc-service
spec:
  selector:
    app: mc-service
  type: NodePort
  ports:
    - protocol: TCP
      port: 80
      targetPort: 8080

ここでわかっていないのは、
外部からのリクエストはIngressで受け付ける想定の場合、
NodePortへのアクセスに何かしら制限をかけなくてよいのか？という点と、
もし制限をかける場合はどうやるのか？（networkPolicy？）です。

NodePortはクラスタ外からのアクセスも可能という理解です。
一応下記コマンドで表示されたEndpoints:へアクセスすると400エラーで弾かれますが、
リクエストの送り方次第で何かしら処理出来たりするのでしょうか？

kubectl describe service

IngressへはGCPの場合はcloud armorというサービスでsecurity-policyを設定できるようですが、
service（NodePort）へはどう設定するか・設定の必要があるか等をアドバイス頂きたいです。

色々不勉強で申し訳ありませんが、よろしくお願いします。