docker – 我应该在Kubernetes面前添加DMZ吗?

Kubernetes Ingress是否足够安全,以避免在Kubernetes面前添加DMZ以暴露Pods和服务?

如果有人“入侵”Pod,会发生什么?

谢谢.

最佳答案 这是一个意见问题,所以我会回答一个选项.

如果您为群集遵循standard security practices,则非常安全.但没有什么是100%安全的.因此添加DMZ有助于减少攻击媒介.

就保护Ingress免受外部攻击而言,您可以将外部负载均衡器的访问权限限制为HTTPS,大多数人都这样做,但请注意HTTPS和您的应用程序本身也可能存在漏洞.

对于您的pod和工作负载,您可以使用精心设计的seccomp配置文件和/或在pod安全上下文中添加正确的capabilities来提高安全性(以一些性能成本).您还可以使用AppArmorSELinux添加更多安全性,但很多人不会因为它变得非常复杂而增加安全性.

Docker还有其他替代方案,以便更容易地对您的pod进行沙盒化(在撰写本文时仍处于生命周期的早期阶段):Kata Containers,Nabla ContainersgVisor.

点赞