【发布时间】:2019-02-02 19:55:19
【问题描述】:
我是 Kubernetes 的新手。所以可能是菜鸟问题。
我想知道在互联网上运行 kubernetes 集群是否安全(使用公共 ip 连接主 节点)。
它对于生产也足够安全吗?如果是,是否可以在不同的供应商(如 AWS)上创建服务器并使其作为节点工作?
非常感谢。
【问题讨论】:
标签: amazon-web-services server kubernetes digital-ocean
【发布时间】:2019-02-02 19:55:19
【问题描述】:
可能普遍存在分歧,认为在 public 上运行它是不安全的,但这里有一些提示:
- 声明任何打开端口的 pod 默认都是公共的基本上是错误的。每个 pod 都有自己的网络命名空间,因此即使它侦听
0.0.0.0以捕获任何流量,这仅发生在该本地命名空间内,因此绝不会向外暴露。直到您配置 NodePort 或 LoadBalancer 排序的 kubernetes 服务以明确将此服务(以及它的支持 pod 端口)公开给网络。您甚至可以通过网络策略对其进行大量管理。 - 在通常的 kubernetes 设置中,pod 之间的流量通过覆盖网络(如 ie)传递。法兰绒、印花布或编织。 Weave Net,明确支持流量加密,使覆盖层通过公共网络进行通信更安全。
- 在公共 Internet 上公开 master 绝对没问题,就像在任何其他服务器上一样。它在设计上受身份验证/密码保护。显然,应该进行定期的 sec 加固,但这适用于任何面向互联网的系统。您的 master 还将在本地运行调度程序和控制器管理器之类的东西,所以这不是问题。
- 您还应该在每个节点上设置适当的防火墙规则,以区分内部和公共流量
我认为您可以在公共网络上以安全的方式运行它。
希望对你有帮助!
【讨论】:
-
谢谢!认为我可以在公共网络上运行我的集群。