我想运行一个kubernetes集群,其中有1个主节点和2个工作节点,所有这3个节点都位于我们内部部署数据中心内的不同单独的私有子网中。在将前端应用程序暴露给实现良好kubernetes安全性的公共网络时,实现kubernetes集群的最佳策略是什么?
答案 0 :(得分:3)
在云端,我的答案将有所不同! 据我了解,טםו不会扩展您的节点,因此我的答案就是基于此。
在K8S集群中创建所有服务(请勿公开其中任何一项)。
创建Nginx或任何您希望作为VM的负载均衡器(如果可以为HA创建2个VM更好)。
将Nginx路由到前端(请使用不公开的入口控制器)
现在有关安全性:
将WAF添加到您的负载均衡器。
控制每种容器类型中允许的进程(为此使用Falco)。
创建网络策略,以定义允许使用哪种服务与哪种服务进行通话,或者我强烈建议使用Istio。
向数据库创建证书,只有包含证书的Pod才能与他交谈。
祝你好运。
答案 1 :(得分:0)