Блог

Я хочу использовать Kubernetes в некоторых облаках (возможно, Amazon, Google и т. Д.). Должен ли я запретить своим машинам EC2 доступ к внешней сети? Я предполагаю следующее, и мне интересно, правильно это или неправильно?

1. Я должен запретить EC2 доступ к внешней сети. В противном случае хакерам будет легче атаковать мои компьютеры. (правда?)
2. Как это сделать: я должен использовать выделенный балансировщик нагрузки (возможно, Ingress) с внешним IP-адресом, к которому привязано мое доменное имя. Затем балансировщик нагрузки свяжется с моим фактическим приложением (у которого нет внешнего IP-адреса и он может получить доступ только к внутренней сети). (правда?)

Извините, я новичок в Ops, и спасибо за любую помощь!

Разрешение или запрещение вашим экземплярам EC2 доступа к внешним сетям, т. Е. Сохранение правила, разрешающего весь исходящий трафик в вашей группе безопасности, не принесет особой пользы от хакеров, для этого и существуют правила входящего трафика. Однако это предотвратит утечку нежелательного трафика после того, как хакер доберется до вашего экземпляра и сможет установить на него любое вредоносное программное обеспечение, а затем попытается инициировать исходящую связь.

Это правило исходящего трафика обычно сохраняется, чтобы разрешить такие вещи, как установка и обновление программного обеспечения, но это не повлияет на то, как ваши экземпляры отвечают на входящие запросы (законные или нет).

Неплохо иметь балансировщик нагрузки перед вашими инстансами и сделать его единственной разрешенной точкой входа в ваши сервисы. Это хороший шаблон, и вашим экземплярам не нужно будет иметь внешний IP-адрес.

Наличие хоста-бастиона также является хорошей идеей, и используйте его для управления самими экземплярами. И я бы также рекомендовал диспетчер сеансов системного менеджера для этой задачи.