使用公共IP运行Kubernetes安全吗?

时间:2018-08-28 08:36:01

标签: amazon-web-services server kubernetes digital-ocean

我是kubernetes的新手。所以可能是菜鸟的问题。

我想知道通过Internet运行kubernetes集群是否安全(将主<->节点与公共ip连接)。

是否也足够安全进行生产?如果可以,是否可以在其他供应商(如AWS)上创建服务器并使它作为节点工作?

非常感谢。

1 个答案:

答案 0 :(得分:3)

可能普遍存在不同意见,认为在公共场所运行此命令并不安全,但是这里有一些提示:

  • 声明默认情况下,打开端口的所有pod都是公开的,这基本上是错误的。每个Pod都有其自己的网络名称空间,因此,即使它侦听0.0.0.0来捕获任何流量,也只会在该本地名称空间内发生,因此绝不会向外暴露。在您配置NodePort或LoadBalancer的kubernetes服务之前,请先将该服务(及其后备Pod端口)明确暴露给网络。而且,您甚至可以通过网络策略来进行管理。
  • 在通常的kubernetes设置中,pod之间的流量会通过覆盖网络(例如ie)传递。法兰绒,印花布或编织。 Weave Net,明确支持流量加密,以使覆盖图通过公共网络进行通信更安全。
  • 像在任何其他服务器上一样,在公共Internet上公开master是绝对好的。它在设计上受到身份验证/密码的保护。显然,应该进行定期的秒强化,但这对于任何面向互联网的系统都是如此。您的主人还将在本地运行诸如调度程序和控制器管理器之类的事情,因此并不是真正的问题。
  • 您还应该在每个节点上设置适当的防火墙规则,以区分内部流量和公共流量

我认为您可以安全地通过公用网络运行它。

希望这对您有帮助!