繁体   English   中英

我应该在Kubernetes面前添加DMZ吗?

Should I add a DMZ in front of Kubernetes?

提示:本站收集StackOverFlow近2千万问答,支持中英文搜索,鼠标放在语句上弹窗显示对应的参考中文或英文, 本站还提供   中文繁体   英文版本   中英对照 版本,有任何建议请联系yoyou2525@163.com。

Kubernetes Ingress是否足够安全,以避免在Kubernetes面前添加DMZ以暴露Pods和服务? 如果有人“入侵”Pod,会发生什么?

谢谢。

2 个回复

这是一个意见问题,所以我会回答一个选项。

如果您遵循群集的标准安全实践 ,则非常安全。 但没有什么是100%安全的。 因此添加DMZ有助于减少攻击媒介。

就保护Ingress免受外部攻击而言,您可以将外部负载均衡器的访问权限限制为HTTPS,大多数人都这样做,但请注意HTTPS和您的应用程序本身也可能存在漏洞。

对于您的pod和工作负载,您可以使用精心设计的seccomp配置文件和/或在pod安全上下文中添加正确的功能来提高安全性(以一些性能成本)。 您还可以使用AppArmorSELinux添加更多安全性,但很多人不会,因为它会变得非常复杂。

Docker还有其他替代方案,以便更容易地对您的pod进行沙盒化(在撰写本文时仍处于生命周期的早期阶段): Kata ContainersNabla ContainersgVisor

这是一个非常开放的问题。 在Google Cloud中,我认为Ingress通常是Google云负载均衡器。 据推测,与您管理的DMZ相比,云负载均衡器非常安全。 k8s Ingress通常也会限制为HTTP流量,因此通过入口“hack”可能需要利用应用层漏洞。 这在很大程度上取决于您的具体设置。

在Pod安全性方面,在Pod中获得执行访问权限会很糟糕。 Docker没有任何有意义的安全或有意义的沙盒。 同样,这取决于您的设置,但作为一个明确的类比:不建议使用k8s Pod来运行不受信任的代码。

1 DMZ 和 Kubernetes

我有一个带有两台 HP 180DL G6 的家庭实验室。 每个节点上都有一个 Kubernetes 主节点和 3 个工作节点正在运行。 其中一个是带有 OpnSense 的虚拟机。 我有一个物理机所在的管理 vlan。 工作节点和主节点的虚拟机所在的一个服务器 vlan。 和一个 dmz vlan ...

3 我应该在哪里向前端的WooCommerce产品添加额外的字段

我正在开一个在线处方眼镜woocommerce网站。 我需要创建近10个自定义字段(shpere,cylinder ...用于双眼)和一些条件逻辑。 我试图在添加到购物车后创建一个新页面,我将从用户获得自定义字段输入。 但没有找到任何有用的文章或代码。 我没有尝试将这些放在单一产品页 ...

5 我应该在'#id'或'.class'选择器前添加元素名称吗?

我正在阅读这本书:CSS Mastery:高级Web标准解决方案 ,并且发现里面的css代码几乎是以这种格式写的: 但是,我习惯用这种格式编写忽略元素名称的代码: 所以,我想弄清楚这两种格式之间有什么区别。 实际上,我知道什么时候应该使用type.class。 而且,我只 ...

8 我应该如何将 Flask 后端添加到已经存在的 React 前端?

我创建了一个可以工作的 React Web 应用程序,它接受用户的输入。 我正在尝试添加一个功能,在单击提交按钮时,允许将整个输入传递到 Flask 后端,该后端进一步处理它并将结果显示在屏幕上。 我应该如何着手构建一个简单的 Flask 后端? 我应该如何制定我的 POST 请求? 我正在尝试使 ...

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

 
粤ICP备18138465号  © 2020-2022 STACKOOM.COM