我正在计划一个 kubernetes 集群(将在公共云基础设施上创建)。一个重要的问题:工作节点是否应该暴露在互联网上(有公共IP)?我想他们不应该,但我想知道最好的做法是什么。谢谢。
从安全角度来看,尽可能限制公共可访问节点的数量总是明智的,并且有多种方法可以实现这一点。
最常见和最简单的方法是您可以将工作节点放置在云提供商的 LB 解决方案后面。LB 是可公开访问的,但您的节点则不可访问。
如果您不能或不想使用提供商的 LB,您还可以将一些工作节点分配为可公开访问的边缘路由器,这些路由器将运行ingress pod。然后,入口充当您的私有工作节点的 LB。然而,理想情况下,边缘路由器节点应该只运行入口 Pod,以便更好地将主容器基础设施与公共可访问的节点隔离(这可以通过labels进行配置)。
| 归档时间: |
|
| 查看次数: |
1511 次 |
| 最近记录: |