K8S 的 API server 暴露在公网运维管理的安全性

2020-06-30 16:16:12 +08:00
 ghostheaven
阿里云的 K8S 服务可以直接把 API server 暴露在公网上,这种方式安全吗?如果不安全的话,推荐什么样的方式管理? VPN 或 /和堡垒吗?
2552 次点击
所在节点    Kubernetes
4 条回复
optional
2020-06-30 16:20:09 +08:00
理论上说证书不泄露问题不大。
但是谁不把它放在防火墙后面,出问题谁背锅。
ghostheaven
2020-06-30 16:30:26 +08:00
@optional 那我就放心了,用的是 serverless 的集群,API 服务是通过负载均衡暴露出来的。
joesonw
2020-06-30 18:38:14 +08:00
@optional AWS 的做法感觉更好, 用的 aws 自己的认证 cli, 然后生成临时 token 用于访问.

- name: arn:aws:eks:xxxx:cluster/yyy
user:
exec:
apiVersion: client.authentication.k8s.io/v1alpha1
args:
- token
- -i
- prod
command: aws-iam-authenticator
env: null
allposs
2020-07-02 14:12:28 +08:00
可以对 api 的访问进行鉴权,可以了解一下 AuthN/AuthZ

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/685960

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX