Kubernetes Ingress是否足够安全,以避免在Kubernetes面前添加DMZ以暴露Pods和服务?
如果有人“入侵”Pod,会发生什么?
谢谢.
最佳答案 这是一个意见问题,所以我会回答一个选项.
如果您为群集遵循standard security practices,则非常安全.但没有什么是100%安全的.因此添加DMZ有助于减少攻击媒介.
就保护Ingress免受外部攻击而言,您可以将外部负载均衡器的访问权限限制为HTTPS,大多数人都这样做,但请注意HTTPS和您的应用程序本身也可能存在漏洞.
对于您的pod和工作负载,您可以使用精心设计的seccomp配置文件和/或在pod安全上下文中添加正确的capabilities来提高安全性(以一些性能成本).您还可以使用AppArmor或SELinux添加更多安全性,但很多人不会因为它变得非常复杂而增加安全性.
Docker还有其他替代方案,以便更容易地对您的pod进行沙盒化(在撰写本文时仍处于生命周期的早期阶段):Kata Containers,Nabla Containers和gVisor.