对于在 DMZ 中运行 IBM Cloud Private 集群的所有部分是否有任何建议?我在文档或堆栈溢出中没有找到任何内容。
问问题
117 次
2 回答
0
我不会这样做。
tl;博士
我认为很明显为什么一个人不会在 DMZ 中运行主节点或管理节点,它们并没有对 Edge 进行加固(真的没有一个是......是的,是的,有些图像是为了硬化...... yada ... yada ...为什么?)并且有 API 和成员到成员的流量,尽管它是 SSL,但有时间和曝光的方式......我的 IT 玛莎斯图尔特说“集群成员的 IPSec VPN 是一件好事。” 此外,如果一个人在 DMZ 中有工人或代理集群成员,真的,它有点同样的问题。Kubernetes 集群(包括 ICP)不是防弹的……甚至是防弹的。当然,他们需要某种网关,除非它只是玩具。将您的网关(它所属的位置)放在 DMZ 中,它应该被构建为在那里运行(DataPower XG 45 或 XI52 是 IMO 的一个很好的例子)。
高温高压
https://kubernetes.io/blog/2016/08/security-best-practices-kubernetes-deployment/
于 2019-04-01T15:09:20.997 回答
0
请看一下ICP架构。
我认为如果你想公开你的服务,你会考虑它的代理部分。
请参阅架构链接: https ://www.ibm.com/support/knowledgecenter/SSBS6K_3.1.2/getting_started/architecture.html
于 2019-04-02T16:09:54.233 回答