我的 VPS 提供商不可能在 VS 之间建立专用网络。所以主节点和节点通过互联网互连。练习足够安全吗?还是迁移到 AWS 更好?
2235 次
1 回答
9
虽然另一个答案表明它不安全,但我强烈反对它。
1:在公共互联网上公开master是完全可以的,就像你对任何其他服务器所做的那样。它在设计上受身份验证/密码保护。显然,应该进行定期的 sec 加固,但这适用于任何面向互联网的系统。您的主人还将在本地运行调度程序和控制器管理器之类的东西,所以这不是一个真正的问题。
2:在通常的 kubernetes 设置中,pod 之间的流量通过覆盖网络(如 ie)传递。法兰绒、印花布或编织。从经验来看,其中一些,比如我的 Weave Net,明确支持流量加密,以使覆盖层通过公共网络进行通信更安全。
any pods that open ports are by default public3:根本错误的陈述。每个 pod 都有自己的网络命名空间,因此即使它侦听 0.0.0.0 以捕获任何流量,这只发生在该本地命名空间内,因此绝不会暴露在外部。直到您配置 NodePort 或 LoadBalancer 类型的 kubernetes 服务以将该服务(以及它的支持 pod 端口)显式公开到 Internet。您还可以通过 NetworkPolicies 对其进行更多控制。
所以是的,您可以以安全的方式在公共网络上运行 kubernetes 集群。
于 2018-02-26T09:32:36.193 回答