我正在计划一个kubernetes集群(将在公共云基础架构上创建)。一个重要问题: 工作者节点是否应该暴露于互联网(拥有公共IP)?我想他们不应该,但我想知道什么是最好的做法。 感谢。
答案 0 :(得分:1)
从安全角度来看,尽可能地限制可公开访问的节点的数量总是明智的,并且有多种方法可以实现这一点。
最常见也是最简单的方法是,您可以将工作节点置于云提供商的LB解决方案之后。 LB是可公开访问的,但您的节点不会。
如果您不能或不想使用提供商的LB,您还可以将一些工作节点指定为可公开访问的边缘路由器,它将运行ingress pods。然后,入口充当您的私有工作节点的LB.但是,边缘路由器节点理想情况下应仅运行入口窗格,以便将主容器基础架构与公共可达节点更好地隔离(可以通过labels配置)。