Bro*_*Bro 2 kubernetes kubernetes-security
我的VPS提供程序无法在VS之间建立专用网络。因此,主节点和节点通过Internet互连。这足够安全吗?还是迁移到AWS更好?
尽管另一个答案指出这是不安全的,但我会对此表示强烈反对。
1:与其他任何服务器一样,将master公开在公共Internet上也很好。它在设计上受到身份验证/密码的保护。显然,应该定期进行秒强化,但这对于任何面向互联网的系统都是如此。您的主人还将在本地运行诸如调度程序和控制器管理器之类的事情,因此这并不是真正的问题。
2:在通常的kubernetes设置中,pod之间的流量通过诸如ie之类的覆盖网络传递。法兰绒,印花布或编织。从经验上来讲,其中一些(例如我的Weave Net)明确支持流量加密,以使覆盖层在公共网络上进行通信更安全。
3:陈述any pods that open ports are by default public是根本错误的。每个Pod都有其自己的网络名称空间,因此,即使它侦听0.0.0.0以捕获任何流量,也只会在该本地名称空间内发生,因此绝不会在外部公开。直到您配置NodePort或LoadBalancer类型的kubernetes服务以将该服务(及其后备Pod端口)显式公开到Internet。而且,您可以通过NetworkPolicies进一步控制此操作。
所以是的,您可以以安全的方式在公共网络上运行kubernetes集群。
| 归档时间: |
|
| 查看次数: |
965 次 |
| 最近记录: |