基本上,我是kubernetes的新手,我正在尝试创建一个简单的nginx + php-fpm应用程序。我已经设置了部署配置,创建了Pod,设置了一些负载均衡器等。一切工作正常,我正在Google Cloud Shell中控制集群(因为集群是在Google Cloud Platform上创建的)。我想问一下是否需要执行其他步骤,或者集群是否安全可靠,例如:有人可以通过某种方式从外部连接到集群等吗?我在创建集群时保留了默认设置,并且我启用了客户端证书(这是一种身份验证方式,对吗?)。我只是想确定一下。 (默认情况下应该安全吗?)
答案 0 :(得分:2)
考虑您到底在“强化”什么?您可以从两个方面考虑安全性:应用程序和群集。它们通常是分离的,但是如果其中任何一个受到损害,则可能导致一些严重的问题。
对于集群安全性,GKE上有很多选项可以限制对大多数用例的集群访问。您可以使用RBAC(基于角色的访问控制)来限制用户和服务帐户的权限,并防止对群集资源进行未经授权的访问/修改。此外,如果您使用外部工具(例如Helm),则需要单独保护它们。默认情况下,只有具有客户端证书的用户才可以访问您的主服务器。如果您共享证书,或者您的Google组织帐户中的其他用户具有IAM权限来访问您的群集,则他们也可以从Google Cloud CLI中获取权限。良好的群集安全性实施可以大大减轻容器/吊舱受损的影响。
为应用程序安全性,请遵循部署容器化应用程序和机密管理的最佳做法。像在传统服务器上一样,基本上可以保护nginx和php。
希望这会有所帮助!