1

我正在使用在入口规则中配置的 TLS 连接来保护我的 Kubernetes 集群,这实际上终止了负载均衡器上的 SSL 连接。到目前为止,一切都很好。

出现了一个问题,即保护从负载均衡器到 Kubernetes 集群中运行的每个服务的连接是否有意义。我对 Kubernetes 工作原理的理解是,服务应该能够动态地上升和下降,而不能保证私有 IP 保持不变,因此尝试使用 TLS 连接来保护服务是没有意义的。此外,每个服务都不能直接暴露在公共互联网上(我的配置是配置单个入口规则,而 Istio 的路由规则将负责路由到不同的服务),网络中提供了安全性层。

我的推理在概念上有什么问题吗?此外,如果我想改进集群的安全设置,是否应该考虑其他机制?Istio Auth 不适合我的用例,因为我根本没有调用其他服务的服务——我的所有服务都不会相互交互。

4

1 回答 1

2

service我假设您指的是kubernetes Service 原语

服务不应该动态上升和下降。您指的是 Pod,它本质上是短暂的。为了使 Pod “更持久”,需要在其上标记一个 Service。当 Pod 来来去去时,kubernetes 会更新iptables规则以将流量路由到实时 Pod。

集群内的流量加密可以通过加密应用程序和 Ingress(第 7 层)或集群网络覆盖(第 3 层)之间的流量来实现。有关更多信息,请参阅此页面

于 2017-08-24T01:11:22.060 回答