互联网上的 Kubernetes
Kubernetes over internet
我的 VPS 提供商不可能在 VS 之间建立专用网络。因此主节点和节点通过互联网互连。练习足够安全吗?还是迁移到 AWS 更好?
虽然另一个答案说它不安全,但我强烈反对。
1: 在 public 互联网上公开 master 是完全没问题的,就像你对任何其他服务器所做的那样。它在设计上受 authentication/cipher 保护。显然,定期的安全强化应该到位,但对于任何面向互联网的系统来说都是如此。你的主人也会 运行 调度程序和 controller-manager 之类的东西,都在本地,所以不是真正的问题。
2:在通常的 kubernetes 设置中 pods 之间的流量通过覆盖网络传递,例如 ie。法兰绒,印花布或编织。从经验来看,其中一些,比如我的 Weave Net,明确支持流量加密,使覆盖层通过 public 网络通信更安全。
3:any pods that open ports are by default public 的说法从根本上是错误的。每个 pod 都有自己的网络命名空间,因此即使它在 0.0.0.0 上侦听以捕获任何流量,这也只发生在该本地命名空间内,因此它决不会暴露在外部。直到您配置 NodePort 或 LoadBalancer 类型的 kubernetes 服务以显式地将此服务(并且它支持 pods 端口)公开到互联网。您可以通过 NetworkPolicies 进一步控制它。
所以是的,您可以 运行 kubernetes 以安全的方式在 public 网络上集群。
我的 VPS 提供商不可能在 VS 之间建立专用网络。因此主节点和节点通过互联网互连。练习足够安全吗?还是迁移到 AWS 更好?
虽然另一个答案说它不安全,但我强烈反对。
1: 在 public 互联网上公开 master 是完全没问题的,就像你对任何其他服务器所做的那样。它在设计上受 authentication/cipher 保护。显然,定期的安全强化应该到位,但对于任何面向互联网的系统来说都是如此。你的主人也会 运行 调度程序和 controller-manager 之类的东西,都在本地,所以不是真正的问题。
2:在通常的 kubernetes 设置中 pods 之间的流量通过覆盖网络传递,例如 ie。法兰绒,印花布或编织。从经验来看,其中一些,比如我的 Weave Net,明确支持流量加密,使覆盖层通过 public 网络通信更安全。
3:any pods that open ports are by default public 的说法从根本上是错误的。每个 pod 都有自己的网络命名空间,因此即使它在 0.0.0.0 上侦听以捕获任何流量,这也只发生在该本地命名空间内,因此它决不会暴露在外部。直到您配置 NodePort 或 LoadBalancer 类型的 kubernetes 服务以显式地将此服务(并且它支持 pods 端口)公开到互联网。您可以通过 NetworkPolicies 进一步控制它。
所以是的,您可以 运行 kubernetes 以安全的方式在 public 网络上集群。