GKE currently exposes Kubernetes UI publicly and by default is only protected by basic auth.
Is there a better method for securing access to the UI? It appears to me this should be accessed behind a secure VPN to prevent various types of attacks. If someone could access the Kubernetes UI, they could cause a lot of damage to the cluster.
答案 0 :(得分:0)
GKE目前公开公开Kubernetes用户界面,默认情况下仅受基本身份验证保护。
UI在Kubernetes集群中作为Pod运行,并附加了一个服务,以便可以从集群内部访问它。如果要远程访问它,可以使用在apiserver中运行的服务代理,这意味着您将通过apiserver进行身份验证以访问UI。
apiserver接受三种形式的客户端身份验证:基本身份验证,承载令牌和客户端证书。基本身份验证密码应具有高熵,并且仅通过SSL传输。它提供了通过浏览器进行访问更简单,因为OAuth集成尚不存在(尽管如果您已在Web浏览器中验证了服务器证书,那么您应该只通过SSL连接传递凭据,这样您的凭据就不会被窃取中间人的攻击)。
是否有更好的方法来保护对UI的访问?
没有办法告诉GKE在主服务器中禁用服务代理,但如果攻击者拥有凭据,那么他们可以使用API访问您的集群,并且可以像访问UI一样造成伤害。所以我不确定为什么你特别担心通过服务代理保护UI而不是保护apiserver的API端点。
在我看来,这应该在安全VPN后面访问,以防止各种类型的攻击。</ p>
您特别关注哪种类型的攻击?