【发布时间】:2019-01-20 19:00:16
【问题描述】:
我想在我们的本地数据中心内运行一个包含 1 个主节点和 2 个工作节点的 Kubernetes 集群,所有 3 个节点都位于不同的单独私有子网中。在将前端应用程序暴露给实现良好 Kubernetes 安全性的公共网络时,实现 Kubernetes 集群的最佳策略是什么?
【问题讨论】:
标签: kubernetes kubernetes-security
我想在我们的本地数据中心内运行一个包含 1 个主节点和 2 个工作节点的 Kubernetes 集群,所有 3 个节点都位于不同的单独私有子网中。在将前端应用程序暴露给实现良好 Kubernetes 安全性的公共网络时,实现 Kubernetes 集群的最佳策略是什么?
【问题讨论】:
标签: kubernetes kubernetes-security
在云端我的答案会有所不同! 据我了解,טםו 不会扩展您的节点,所以我的答案是基于此。
在 K8S 集群中创建所有服务(不要公开其中任何一项)。
创建 Nginx 或任何您喜欢作为 VM 的负载均衡器(如果您可以更好地为 HA 创建 2 个 VM)。
将 Nginx 路由到前端(请使用不暴露的入口控制器)
现在关于安全性:
将 WAF 添加到负载均衡器。
控制每种容器类型中允许的进程(为此使用 Falco)。
创建网络策略,定义允许哪些服务与哪些服务对话,或者我强烈建议使用 Istio。
为 DB 创建证书,只有包含证书的 pod 才能与他对话。
祝你好运。
【讨论】:
【讨论】: