背景是租用了一批第三方公司的服务器(可以认为不那么可信),现在想把它们以 k8s worker 节点的方式接入到我们已有集群中,k8s apiserver 还有部分节点位于我们自己数据中心服务器上,现在想提高一下防护避免被攻击,主要考虑以下几点:
- 担心第三方公司服务器可能会有他们的人登录,我们在上面部署虚拟机,在虚拟机内部署 kubelet ,这样应该能最大程度避免他们接触到虚机内的 kubelet 以及容器?
- 网络安全方面,为了避免第三方公司能查看到我们服务器 ip ,想搭建一个加密隧道,但不清楚业界目前常用搭建安全隧道工具有哪些,github 查到一个 gost ,不清楚可用性和安全性如何,以及怎么和 k8s 结合起来。另一方面,更安全点想实现只允许我们服务器到第三方服务器通信,从我们数据中心建 pod 调过去;反过来通信不行,但貌似 k8s 节点注册以及监听资源变化必须从 kubelet 向 apiserver 发起,没法反过来,不知道还是否有办法可行。也就是限制单向通信还能保证 k8s 整个调度流程正常。
这方面看到 kubeedge 等边缘计算框架云边通信单独有 cloudcore 、edgecore 组件,似乎有加密隧道功能,想拿来直接用,不确定可行性怎么样、是否还有其它办法?
Select Language