限制通过 VPN 或 GKE 上的其他方式访问 Kubernetes UI
Restrict access to Kubernetes UI via VPN or other on GKE
GKE 目前公开公开 Kubernetes UI,默认情况下仅受基本身份验证保护。
是否有更好的方法来保护对 UI 的访问?在我看来,这应该在安全的 VPN 后面访问,以防止各种类型的攻击。如果有人可以访问 Kubernetes UI,他们可能会对集群造成很大的破坏。
GKE currently exposes Kubernetes UI publicly and by default is only protected by basic auth.
UI 运行 作为 Kubernetes 集群中的一个 Pod,附加了一个服务,因此可以从集群内部访问它。如果你想远程访问它,你可以在apiserver中使用服务代理运行,这意味着你需要通过apiserver认证才能访问UI.
apiserver 接受三种形式的客户端身份验证:基本身份验证、承载令牌和客户端证书。基本认证密码应具有高熵,并且仅通过 SSL 传输。由于 OAuth 集成尚不存在,因此提供它是为了通过浏览器进行访问更简单(尽管如果您已经在 Web 浏览器中验证了服务器证书,那么您应该只通过 SSL 连接传递您的凭据,这样您的凭据就不会被盗用)中间人攻击)。
Is there a better method for securing access to the UI?
没有办法告诉 GKE 禁用主服务器中的服务代理,但如果攻击者有凭据,那么他们可以使用 API 访问您的集群,并造成尽可能多的危害他们可以到达 UI。所以我不确定为什么您特别关心通过服务代理保护 UI 与保护 apiserver 的 API 端点。
It appears to me this should be accessed behind a secure VPN to prevent various types of attacks.
您具体关注哪些类型的攻击?
GKE 目前公开公开 Kubernetes UI,默认情况下仅受基本身份验证保护。
是否有更好的方法来保护对 UI 的访问?在我看来,这应该在安全的 VPN 后面访问,以防止各种类型的攻击。如果有人可以访问 Kubernetes UI,他们可能会对集群造成很大的破坏。
GKE currently exposes Kubernetes UI publicly and by default is only protected by basic auth.
UI 运行 作为 Kubernetes 集群中的一个 Pod,附加了一个服务,因此可以从集群内部访问它。如果你想远程访问它,你可以在apiserver中使用服务代理运行,这意味着你需要通过apiserver认证才能访问UI.
apiserver 接受三种形式的客户端身份验证:基本身份验证、承载令牌和客户端证书。基本认证密码应具有高熵,并且仅通过 SSL 传输。由于 OAuth 集成尚不存在,因此提供它是为了通过浏览器进行访问更简单(尽管如果您已经在 Web 浏览器中验证了服务器证书,那么您应该只通过 SSL 连接传递您的凭据,这样您的凭据就不会被盗用)中间人攻击)。
Is there a better method for securing access to the UI?
没有办法告诉 GKE 禁用主服务器中的服务代理,但如果攻击者有凭据,那么他们可以使用 API 访问您的集群,并造成尽可能多的危害他们可以到达 UI。所以我不确定为什么您特别关心通过服务代理保护 UI 与保护 apiserver 的 API 端点。
It appears to me this should be accessed behind a secure VPN to prevent various types of attacks.
您具体关注哪些类型的攻击?