使用 TLS 保护 Kubernetes 中从入口到服务的连接

【问题标题】:Securing connections from ingress to services in Kubernetes with TLS使用 TLS 保护 Kubernetes 中从入口到服务的连接
【发布时间】:2018-02-01 17:05:58
【问题描述】:

我正在使用入口规则中配置的 TLS 连接来保护我的 Kubernetes 集群,这实际上会终止负载均衡器上的 SSL 连接。到目前为止,一切都很好。

提出了一个问题,即保护从负载平衡器到 Kubernetes 集群中运行的每个服务的连接是否有意义。我对 Kubernetes 工作原理的理解是,服务应该能够动态地上升和下降,而不能保证私有 IP 保持不变,因此尝试使用 TLS 连接来保护服务是没有意义的。此外,每个服务都不能直接暴露在公共互联网上(我的配置是配置单个入口规则,而 Istio 的路由规则将负责路由到不同的服务),网络中提供了安全性层。

我的推理在概念上有什么问题吗?此外,如果我想改进集群的安全设置,是否应该考虑其他机制? Istio Auth 不适合我的用例,因为我根本没有服务调用其他服务 - 我的所有服务都不会相互交互。

【问题讨论】:

    标签: security ssl kubernetes kops istio


    【解决方案1】:

    service 我猜你指的是kubernetes Service primitive

    服务不应该动态上升和下降。您指的是 Pod,它本质上是短暂的。为了使 Pod “更持久”,需要在其上标记一个 Service。当 Pod 来来去去时,kubernetes 会更新 iptables 规则以将流量路由到实时 Pod。

    集群内的流量加密可以通过加密应用和 Ingress(第 7 层)或集群网络覆盖(第 3 层)之间的流量来实现。请参阅this page 了解更多信息。

    【讨论】:

      猜你喜欢
      • 2018-11-26
      • 1970-01-01
      • 2011-07-30
      • 2015-06-30
      • 2018-08-22
      • 1970-01-01
      • 2018-09-23
      • 1970-01-01
      • 2016-04-28
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode