我正在使用GKE,并希望限制外部负载平衡器免受不必要的流量。我发现有两个选项对我来说有问题:
- Nginx + + maxmind解决方案的地理过滤-我正在寻找一个开源的解决方案(和maxmind生活不再可用)。
- GKE Ingress + Cloud armor,但我使用nginx和其他负载平衡器,而不是GKE Ingress。
我正在寻找一个更好的解决方案,也许在全局kubernetes级别实现作为守护进程或常规部署代理。
我建议您查看:https://lab.wallarm.com/how-to-protect-your-kubernetes-cluster-with-wallarm-configuration-and-finetuning-part-2-of-3/
和niceWallarm WAF ingress controller: https://github.com/wallarm/ingress
对于Nginx ingress,有增加安全性的选项
ModSecurity在应用程序级元数据和代理有效负载大小管理。
对于DDoS保护,您可以使用速率限制和连接处理选项
nginx.ingress.kubernetes.io/limit-connections: '2'
nginx.ingress.kubernetes.io/limit-rpm: '60'
也可以将ip白名单加入。