我想运行一个 kubernetes 集群,其中包含 1 个主节点和 2 个工作节点,所有 3 个节点都位于我们本地数据中心内的不同独立私有子网中。在实现良好的 Kubernetes 安全性的同时将前端应用程序公开给公共网络的最佳策略是什么?
在云中,我的答案会有所不同! 据我了解,טםו 不会扩展您的节点,所以我的答案是基于此。
-
在 K8S 集群中创建所有服务(不要公开其中任何一个(。
-
创建 Nginx 或任何您喜欢作为 VM 的负载均衡器(如果您可以为 HA 创建 2 个 VM,那就更好了(。
-
将 Nginx 路由到前端(请使用不暴露的入口控制器(
现在关于安全性:
-
将 WAF 添加到负载均衡器。
-
控制每种容器类型中允许的进程(为此使用 Falco(。
-
创建网络策略来定义允许哪些服务与什么服务通信,或者我强烈建议使用 Istio。
-
为数据库创建证书,只有包含证书的 Pod 才能与他通信。
祝你好运。
在
- 专用网络上创建一个 Kubernetes 集群
- 在单独的网络上创建外部负载均衡器,将流量暴露给外部
- 将 DNS 指向外部负载均衡器的公共 IP
- 从外部负载均衡器发现 Kubernetes 服务
- 在大多数情况下,你只需要外部负载均衡器将与之通信的节点端口类型的 Kubernetes 服务 。
- 如果您的应用程序需要会话持久性,请将 K8s 服务配置为仅从本地节点提供服务