目前,我想介绍一些 AWS 内 Kubernetes 的外部防火墙解决方案。我正在使用 kops 来帮助构建生产环境。这是一个很好的框架但是,我对 AWS 网络结构很陌生,kubernetes 对我来说也是一个新事物。我想要做的是为所有到达 kubernetes 服务的请求设置一个防火墙。如果有人入侵了 Kubernetes 中的容器,他或她就无法攻击集群中的任何其他容器。有什么想法或建议吗?
问问题
170 次
2 回答
1
对于一般的 Kubernetes,可以通过Network Policies完成网络级别的限制操作(假设您使用的是 1.7)。
除此之外,如果您担心集群中的恶意容器,我建议您查看CIS Kubernetes标准,以确保您已锁定集群,因为开箱即用的 kops似乎存在一些问题。
于 2017-09-05T13:16:47.130 回答
0
好的,我终于想出了一个解决方案。一开始,我尝试将 Fortinet Gate 与 kops 一起使用。但它不起作用并导致很多问题......似乎路由表的更改会与kops产生一些冲突。无论如何,重新连接有关 kops 的子网和防火墙实例并不是一个好主意。后来我们切换到深度安全。都好。唯一的问题是 kops 目前不支持自定义启动配置。我希望这可以帮助任何想要在 kubernetes 上设置安全环境的人。
于 2017-08-02T03:06:47.920 回答