SPIFFE/SPIRE Server 可以安装在 GKE 的任意节点上吗?如果是,集群中其他节点中的一个节点将同时安装服务器和代理。是否需要在该节点上运行代理以及运行 SPIRE 服务器的人?
请解释。
问问题
186 次
1 回答
1
根据收到的关于 SPIRE Slack 的评论
在 GKE(和其他托管的 k8s)上,您只能获得工作节点,因此无论如何都无法部署到主节点。但是,最后,在主服务器上运行 SPIRE 服务器有优点(潜在的安全性)和缺点(可扩展性)。在实践中,它可能不太可能,但这是一个公平的辩论。通常,您会将 SPIRE 服务器作为 StatefulSet 部署到与可伸缩性和可用性目标一致的一些节点,并将 SPIRE 代理部署为 DaemonSet,它将在集群中的每个节点上运行。除非您通过 k8s 调度程序进行一些非常具体的目标部署,例如单独的节点池或通过标签选择器为非常具体的用例调度的节点子集(您不会运行任何 SPIFFE 工作负载),否则我就是这样做的
于 2020-02-06T18:26:12.193 回答