如何配置Kubernetes来加密节点和豆荚之间的通信量?
如何配置Kubernetes来加密节点和豆荚之间的通信量?
提问于 2017-08-02 06:36:16
在为HIPAA遵从性做准备时,我们正在将Kubernetes集群转换为跨机队使用安全端点(在所有吊舱之间)。由于集群由目前使用HTTP连接的大约8-10个服务组成,因此由Kubernetes来处理这个问题将是非常有用的。
我们要解决的特定攻击向量是节点(物理服务器)之间的数据包嗅探。
这个问题分为两部分:
- 默认情况下,Kubernetes会加密豆荚和节点之间的通信吗?
- 如果没有,是否有办法对其进行配置?
非常感谢!
回答 4
Stack Overflow用户
回答已采纳
发布于 2017-08-03 10:09:48
其实正确的答案是“视情况而定”。我会把集群分成两个不同的网络。
- 控制平面网络 这个网络就是物理网络或者底层网络,换句话说。 k8s控制-平面元素- kube-apiserver,kube-控制器-管理器,kube-调度器,kube-代理,kubelet -以各种方式相互交谈.除了几个端点(如。),可以在所有端点上配置加密。 如果你也是在休息,那么kubelet authn/authz也应该被打开。否则,加密不会阻止对kubelet的未经授权访问。这个端点(端口10250)可以很容易地被劫持。
- 集群网络 集群网络是Pods使用的网络,也称为覆盖网络。加密留待第三方覆盖插件来实现,如果不能实现,应用程序就必须实现。 编织覆盖支持加密。@lukas建议的服务网格链接也可以实现这一点,但在不同的网络层。
Stack Overflow用户
发布于 2017-08-02 09:11:47
默认情况下,Kubernetes会加密豆荚和节点之间的通信吗?
Kubernetes不加密任何通信。
有些服务,如链接架,允许您轻松地在您的http服务之间引入https通信。
您将在每个节点上运行服务网格实例,所有服务都将与服务网格对话。服务网格内的通信将被加密。
示例:
您的服务-http-> localhost to servicemesh节点-> https-> remoteNode -http-> localhost to远程服务。
当您在与您的服务相同的吊舱中运行服务网格节点时,本地主机通信将运行在无人能够访问的专用虚拟网络设备上。
Stack Overflow用户
发布于 2021-04-28 14:19:38
这里的答复似乎过时了。截至2021-04-28,至少以下组件似乎能够为Kubernetes提供加密的网络层:
- 伊斯蒂奥
- 织法
- 链接架
- 纤毛
- Calico (通过Wireguard)
(上述清单是通过对各自项目主页的协商获得的)
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/45453187
复制相关文章
相似问题
腾讯云开发者
