#kubernetes #kubernetes-ingress #haproxy #dmz
Вопрос:
у меня есть вопрос, связанный с потребностями в дизайне и архитектуре, а не с проблемой, у нас есть кластер kubernetes, который обрабатывает нашу производственную нагрузку, нам нужно обеспечить безопасность внешнего трафика в этот кластер, поэтому мы разработали этот подход :
- создайте рабочий узел с входным контроллером и без какой-либо рабочей нагрузки
- поместите этот рабочий узел в зону DMZ, чтобы обрабатывать внешний трафик для наших служб ClusterIP наших приложений.
это хорошая идея для обеспечения безопасности наших рабочих нагрузок ?
если мы разместим HAProxy в зоне DMZ (как L4, просто чтобы сбалансировать трафик для рабочих, который будет обрабатываться, например, ingress nginx), это не даст нам другого уровня безопасности (нарушение протокола).
обратите внимание, что у нас нет WAF. Есть какие-нибудь идеи, пожалуйста??
Комментарии:
1. Я считаю, что вам следует подумать о том, чтобы связаться с отделом продаж Google и поговорить с архитектором решений
2. @DerekFender я надеюсь получить ответ от кого-то, кто точно знает, как разоблачить проникновение в локальные кластеры
3. @DerekFender почему продажи Google, а не какая-либо другая компания, у которой есть архитекторы решений для Kubernetes?
Ответ №1:
Согласитесь использовать два выделенных узла для обеспечения высокой доступности для точки входа внешнего трафика.
Я бы использовал контроллер входа haproxy, объявляющий контроллер входа HAProxy Kubernetes 1.6 с развивающейся сетью Kubernetes с API шлюза