SSH-туннель безопасности Kubernetes API
Мы сначала развертываем кластер кубернетов нашей компании (с поддержкой RBAC) для внутреннего использования. Сотрудникам должен быть разрешен доступ к нему с их собственными учетными данными (на основе сертификатов). Кластер доступен в сети и размещен в центре обработки данных.
Следует ли разрешить доступ только через SSH-туннель / вход в систему или сохранить его, чтобы опубликовать сервер API и запретить анонимный вход?
Благодарю за любой совет!
Ответ на ваш вопрос во многом зависит от вашей способности защитить общедоступную конечную точку.
Однако, для справки, в модели GKE конечная точка сервера API публично доступна для аутентификация . Это означает, что анонимный вход отключен.
Кроме того, у них есть функция частного кластера , которая также предоставляет конечную точку сервера API, но на этот раз она ограничена определенными CIDR, что означает, что разрешены только определенные диапазоны для аутентификации на общедоступной конечной точке.
Если вы сложите эти два вместе, вы можете решить эту проблему, открыв API-сервер только для ваших известных клиентских адресов.
В прошлом частному кластеру на GKE требовался бастионный хост для подключения, поэтому ваш вторичный подход также может быть действительным, но менее удобным.