我正在使用入口规则中配置的TLS连接来保护我的Kubernetes集群,这实际上终止了负载均衡器处的SSL连接 . 到现在为止还挺好 .
提出了一个问题,即保护从负载均衡器到Kubernetes集群中运行的每个服务的连接是否有意义 . 我对Kubernetes如何工作的理解是,服务应该能够动态地上升和下降,而不能保证私有IP保持不变,因此尝试使用TLS连接来保护服务是没有意义的 . 此外,每个服务都无法直接暴露给公共互联网(我的配置是使用Istio配置单个入口规则和路由规则,这将照顾到不同服务的路由),安全性在网络中提供层 .
我的推理在概念上有什么不对吗?另外,如果我想改进群集的安全设置,是否还有其他机制? Istio Auth不适合我的用例,因为我根本没有服务调用其他服务 - 我的所有服务都没有互相交互 .
1 回答
到
service我假设你指的是kubernetes Service primitive .服务不应该动态上下 . 你所指的是Pod本质上是短暂的 . 要制作Pod "more permanent",服务会被标记为它 . 当Pods出现时,kubernetes会更新
iptables规则以将流量路由到实时Pod .群集内的流量加密可以通过加密应用和Ingress(第7层)之间或群集网络覆盖(第3层)之间的流量来实现 . 有关详细信息,请参阅this page .