V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fighterhit
V2EX  ›  Kubernetes

请教一个 k8s 网络安全方面问题

  •  
  •   fighterhit · 2023-08-23 19:46:10 +08:00 · 1441 次点击
    这是一个创建于 450 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景是租用了一批第三方公司的服务器(可以认为不那么可信),现在想把它们以 k8s worker 节点的方式接入到我们已有集群中,k8s apiserver 还有部分节点位于我们自己数据中心服务器上,现在想提高一下防护避免被攻击,主要考虑以下几点:

    1. 担心第三方公司服务器可能会有他们的人登录,我们在上面部署虚拟机,在虚拟机内部署 kubelet ,这样应该能最大程度避免他们接触到虚机内的 kubelet 以及容器?
    2. 网络安全方面,为了避免第三方公司能查看到我们服务器 ip ,想搭建一个加密隧道,但不清楚业界目前常用搭建安全隧道工具有哪些,github 查到一个 gost ,不清楚可用性和安全性如何,以及怎么和 k8s 结合起来。另一方面,更安全点想实现只允许我们服务器到第三方服务器通信,从我们数据中心建 pod 调过去;反过来通信不行,但貌似 k8s 节点注册以及监听资源变化必须从 kubelet 向 apiserver 发起,没法反过来,不知道还是否有办法可行。也就是限制单向通信还能保证 k8s 整个调度流程正常。

    这方面看到 kubeedge 等边缘计算框架云边通信单独有 cloudcore 、edgecore 组件,似乎有加密隧道功能,想拿来直接用,不确定可行性怎么样、是否还有其它办法?

    11 条回复    2023-08-24 12:57:59 +08:00
    seers
        1
    seers  
       2023-08-23 19:53:46 +08:00 via Android
    你用他们资源自己虚拟化个 node 出来再接入资源池
    fighterhit
        2
    fighterhit  
    OP
       2023-08-23 20:05:35 +08:00
    @seers 对!刚才突然想到可以这样接入资源方便。但是第二点网络访问上怎么控制安全点呢?比如搭个正向代理,所有服务都走代理,数据中心防火墙只给代理机器开防火墙?
    seers
        3
    seers  
       2023-08-23 20:10:56 +08:00 via Android
    @fighterhit 给你们的 k8s api 套个 slb 就行了,对外暴露一个 slb 地址
    fighterhit
        4
    fighterhit  
    OP
       2023-08-23 20:18:15 +08:00
    @seers 只用 slb 对公网开放吗?不安全吧,正向代理主要考虑尽可能限制访问 apiserver 的客户端范围,不确定是否还有其它更好的办法?
    fighterhit
        5
    fighterhit  
    OP
       2023-08-23 20:36:19 +08:00
    @seers 还有一点是 vnode 只解决了资源接入问题,集群内地址网络访问也要互通,需要服务发现
    sampeng
        6
    sampeng  
       2023-08-24 09:04:53 +08:00 via iPhone
    背景是什么?为啥要接入?
    fighterhit
        7
    fighterhit  
    OP
       2023-08-24 09:08:58 +08:00
    @sampeng 成本原因吧。有安全经验指教下?
    EsSkOyN
        8
    EsSkOyN  
       2023-08-24 09:30:51 +08:00 via iPhone
    https://zhuanlan.zhihu.com/p/560161230?utm_id=0
    还是很难限制的 建议不要想直接往集群里接
    sampeng
        9
    sampeng  
       2023-08-24 10:30:06 +08:00 via iPhone
    无解…内部环境是最容易攻破的。k8s 不解决这种问题…
    sampeng
        10
    sampeng  
       2023-08-24 10:32:02 +08:00 via iPhone
    @fighterhit 这就是因噎废食了,人力成本要远远大于服务器成本了…对方机器不知道你集群 ip 路由表都没法写
    dnsjia
        11
    dnsjia  
       2023-08-24 12:57:59 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2791 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 06:52 · PVG 14:52 · LAX 22:52 · JFK 01:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.