我们正在部署公司第一个(启用 RBAC)kubernetes 集群供内部使用。应允许员工使用自己的(基于证书的)凭据访问它。该集群在线可用并托管在数据中心。
我们是否应该仅允许通过 SSH 隧道/登录进行访问,或者是否可以安全地发布 API 服务器并禁止匿名登录?
谢谢任何建议!
答案1
您的问题的答案高度依赖于您自己保护公开暴露的端点的能力。
但是,作为参考,GKE 模型具有 API 服务器端点公开以进行身份验证。这意味着匿名登录被禁用。
此外,他们还有私有集群功能这也公开了 API 服务器端点,但这次它被限制在某些 CIDR 内,这意味着只有某些范围才允许针对公共端点进行身份验证。
如果将这两者结合起来,您可以通过仅向已知客户端的地址公开 API 服务器来解决此问题。
过去,GKE 上的私有集群需要堡垒主机来连接,因此您的次要方法可能有效,但不太方便。