这是一个创建于 811 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景是租用了一批第三方公司的服务器(可以认为不那么可信),现在想把它们以 k8s worker 节点的方式接入到我们已有集群中,k8s apiserver 还有部分节点位于我们自己数据中心服务器上,现在想提高一下防护避免被攻击,主要考虑以下几点:
- 担心第三方公司服务器可能会有他们的人登录,我们在上面部署虚拟机,在虚拟机内部署 kubelet ,这样应该能最大程度避免他们接触到虚机内的 kubelet 以及容器?
- 网络安全方面,为了避免第三方公司能查看到我们服务器 ip ,想搭建一个加密隧道,但不清楚业界目前常用搭建安全隧道工具有哪些,github 查到一个 gost ,不清楚可用性和安全性如何,以及怎么和 k8s 结合起来。另一方面,更安全点想实现只允许我们服务器到第三方服务器通信,从我们数据中心建 pod 调过去;反过来通信不行,但貌似 k8s 节点注册以及监听资源变化必须从 kubelet 向 apiserver 发起,没法反过来,不知道还是否有办法可行。也就是限制单向通信还能保证 k8s 整个调度流程正常。
这方面看到 kubeedge 等边缘计算框架云边通信单独有 cloudcore 、edgecore 组件,似乎有加密隧道功能,想拿来直接用,不确定可行性怎么样、是否还有其它办法?
 | 1 seers 2023-08-23 19:53:46 +08:00 via Android 你用他们资源自己虚拟化个 node 出来再接入资源池 |
 | 2 fighterhit OP @seers 对!刚才突然想到可以这样接入资源方便。但是第二点网络访问上怎么控制安全点呢?比如搭个正向代理,所有服务都走代理,数据中心防火墙只给代理机器开防火墙? |
| 3 seers 2023-08-23 20:10:56 +08:00 via Android @fighterhit 给你们的 k8s api 套个 slb 就行了,对外暴露一个 slb 地址 |
| 4 fighterhit OP @seers 只用 slb 对公网开放吗?不安全吧,正向代理主要考虑尽可能限制访问 apiserver 的客户端范围,不确定是否还有其它更好的办法? |
| 5 fighterhit OP @seers 还有一点是 vnode 只解决了资源接入问题,集群内地址网络访问也要互通,需要服务发现 |
 | 6 sampeng 2023-08-24 09:04:53 +08:00 via iPhone 背景是什么?为啥要接入? |
| 7 fighterhit OP @sampeng 成本原因吧。有安全经验指教下? |
 | 8 EsSkOyN 2023-08-24 09:30:51 +08:00 via iPhone https://zhuanlan.zhihu.com/p/560161230?utm_id=0 还是很难限制的 建议不要想直接往集群里接 |
| 9 sampeng 2023-08-24 10:30:06 +08:00 via iPhone 无解…内部环境是最容易攻破的。k8s 不解决这种问题… |
| 10 sampeng 2023-08-24 10:32:02 +08:00 via iPhone @fighterhit 这就是因噎废食了,人力成本要远远大于服务器成本了…对方机器不知道你集群 ip 路由表都没法写 |
 | 11 dnsjia 2023-08-24 12:57:59 +08:00 |
Select Language