1

我有一个与设计和架构需求相关的问题,而不是问题一,我们有一个 Kubernetes 集群来处理我们的生产工作负载,我们需要保护到这个集群的外部流量,所以我们设计了这种方法:

  • 创建一个带有入口控制器且没有任何工作负载的工作节点
  • 将此工作节点放置在 DMZ 区域中,以便处理应用程序的 clusterIP 服务的外部流量。

这是保护我们工作负载的好主意吗?

如果我们在 DMZ 区域中放置一个 HAproxy(作为 L4,只是为了负载平衡到工作人员的流量,由入口 nginx 处理),它不会给我们提供其他级别的安全性(协议中断)

请注意,我们没有 WAF。请问有什么想法吗??

4

1 回答 1

0

同意为外部流量入口点使用两个专用节点,以实现高可用性。

我将使用 haproxy 入口控制器宣布 HAProxy Kubernetes Ingress Controller 1.6Evolving Kubernetes 网络和网关 API

于 2021-06-09T23:29:37.273 回答