我正在努力保护我的Kubernetes集群,并在入口规则中配置TLS连接,这实质上终止了负载均衡器上的SSL连接。到现在为止还挺好。
出现了一个问题,即保护从负载均衡器到Kubernetes集群中运行的每个服务的连接是否有意义。我对Kubernetes如何工作的理解是服务应该能够动态地上升和下降,而不能保证私有IP保持不变,因此尝试使用TLS连接来保护服务是没有意义的。此外,每个服务都无法直接暴露给公共互联网(我的配置是使用Istio配置单个入口规则和路由规则,将负责路由到不同的服务),安全性在网络中提供层
我的推理在概念上有什么不对吗?另外,如果我想改进集群的安全设置,是否还有其他机制? Istio Auth不适合我的用例,因为我根本没有服务调用其他服务 - 我的所有服务都没有相互交互。
答案 0 :(得分:1)
按<target layout="${mdlc:item=Param}"
fileName="logs.txt"
name="f"
xsi:type="File"/>
我假设您引用kubernetes Service primitive。
服务不应该动态上下。你所指的是Pod本质上是短暂的。为了使Pod&#34;更永久,#34;服务被标记为它。当Pods出现时,kubernetes会更新service规则,以便将流量路由到实时Pod。
群集中的流量加密可以通过加密应用和Ingress(第7层)之间或群集网络覆盖(第3层)之间的流量来实现。有关详细信息,请参阅this page。