[英]Should I add a DMZ in front of Kubernetes?
Kubernetes Ingress是否足够安全,以避免在Kubernetes面前添加DMZ以暴露Pods和服务? 如果有人“入侵”Pod,会发生什么?
谢谢。
这是一个意见问题,所以我会回答一个选项。
如果您遵循群集的标准安全实践 ,则非常安全。 但没有什么是100%安全的。 因此添加DMZ有助于减少攻击媒介。
就保护Ingress免受外部攻击而言,您可以将外部负载均衡器的访问权限限制为HTTPS,大多数人都这样做,但请注意HTTPS和您的应用程序本身也可能存在漏洞。
对于您的pod和工作负载,您可以使用精心设计的seccomp配置文件和/或在pod安全上下文中添加正确的功能来提高安全性(以一些性能成本)。 您还可以使用AppArmor或SELinux添加更多安全性,但很多人不会,因为它会变得非常复杂。
Docker还有其他替代方案,以便更容易地对您的pod进行沙盒化(在撰写本文时仍处于生命周期的早期阶段): Kata Containers , Nabla Containers和gVisor 。
这是一个非常开放的问题。 在Google Cloud中,我认为Ingress通常是Google云负载均衡器。 据推测,与您管理的DMZ相比,云负载均衡器非常安全。 k8s Ingress通常也会限制为HTTP流量,因此通过入口“hack”可能需要利用应用层漏洞。 这在很大程度上取决于您的具体设置。
在Pod安全性方面,在Pod中获得执行访问权限会很糟糕。 Docker没有任何有意义的安全或有意义的沙盒。 同样,这取决于您的设置,但作为一个明确的类比:不建议使用k8s Pod来运行不受信任的代码。
Kubernetes + Gitlab CI 人工制品:我应该使用什么样的卷?
[英]Kubernetes + Gitlab CI artefacts : What kind of volume should I use?
在当地环境中,我应该使用docker-compose还是kubernetes(minikube)?
[英]In local environment, should I use docker-compose or kubernetes (minikube)?
我应该如何为 Kubernetes 重写 docker-compose.yaml?
[英]How should I rewrite docker-compose.yaml for Kubernetes?
我应该在哪里为多个kubernetes集群提供共享服务?
[英]Where should I put shared services for multiple kubernetes-clusters?
我应该在移除 dockershim 组件之前还是之后开始学习 kubernetes?
[英]Should I start learning kubernetes before or after the removal of the dockershim component?
我应该如何在 Kubernetes 上为 JupyterHub 部署持久卷 (PV)?
[英]How should I deploy Persistent Volume(PV) for JupyterHub on Kubernetes?
在部署在 Kubernetes 集群上的容器化 Python 应用程序中,我应该指向哪个 IP 地址?
[英]What IP Address should I point to in my containerized Python application that is deployed on a Kubernetes cluster?
我应该将任何内存选项传递给在 Kubernetes pod 上运行的有限制的 nodejs 应用程序吗?
[英]Should I pass any memory options to nodejs application running on Kubernetes pod with limits?
本地 Kubernetes 使用 k3d 部署 - 我应该将 docker 图像推送到哪里?
[英]Local Kubernetes Deployment using k3d - where should I push the docker images to?
我应该在哪里存储在Container(docker / kubernetes)中运行的应用程序的日志文件?
[英]Where should I store log files of an application running in Container(docker/kubernetes)?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
