一个简单的问题,我找不到答案。
如果在2个单独的数据中心中有2个节点的Rancher设置。并且我们有一个同时在两者上运行的应用程序,负载与L7级别的入口保持平衡(在入口处剥离SSL)
如何将数据从入口传输到Pod,并且在多个数据中心之间安全吗?
想到了三种解决方案:
有人可以确认牧场主在这方面是如何实施的。
答案 0 :(得分:1)
基于this thread on Rancher forum
入口控制器可以在一个节点上,而容器可以在另一个节点上。当使用L7负载平衡时,SSL会在入口处被剥离,流量会在没有SSL加密的Pod上转发。
根据您的CNI提供商(Documentation)的Rancher配置,可以在隧道与Pod之间进行通信,也可以不隧道。
如果通过Canal设置了牧场主,那么入口和Pod之间的通信将通过隧道传输,因此可以保护外部攻击者的安全。
但是,如果牧场主设置为Calico,则不会通过隧道建立。
因此,如果您的节点是公开访问的,并且有人可能监听您的流量,则可以根据您的设置使用Canal。或者,如果您的整个设置都在专用网络上,则可以使用Calico。
通知
这里没有提到潜在的安全风险。
Calico和Canal都无法保护您免受恶意吊舱的侵害。因此,如果 您的配置需要安全级别(可能有Pod) 嗅探流量,您将需要使用其他需求来保护自己的安全 基础设施。