मैं अपने कुबेरनेट्स क्लस्टर को इंप्रूव नियम में कॉन्फ़िगर किए गए टीएलएस कनेक्शन के साथ सुरक्षित करने पर काम कर रहा हूं, जो लोड बैलेंसर पर SSL कनेक्शन को अनिवार्य रूप से समाप्त करता है। अब तक सब ठीक है।
इस बारे में एक सवाल सामने आया कि क्या यह बनाया जाएगाKubernetes क्लस्टर में चल रही प्रत्येक सेवाओं के लिए लोड बैलेंसर से कनेक्शन को सुरक्षित करने की भावना। कुबेरनेट कैसे काम करता है, इसके बारे में मेरी समझ यह है कि सेवाओं को बिना किसी गारंटी के गतिशील रूप से ऊपर और नीचे आने में सक्षम होना चाहिए, ताकि निजी आईपी अपरिवर्तित रहें, इसलिए टीएलएस कनेक्शन के साथ सेवाओं को सुरक्षित करने का प्रयास करने का कोई मतलब नहीं है। इसके अलावा, यह तथ्य कि प्रत्येक सेवाओं को सार्वजनिक इंटरनेट पर सीधे उजागर नहीं किया जा सकता है (मेरा कॉन्फ़िगरेशन एक एकल प्रवेश नियम को कॉन्फ़िगर करना है और इस्टियो के साथ रूटिंग नियमों को अलग-अलग सेवाओं के लिए मार्ग की देखभाल करेगा), सुरक्षा नेटवर्किंग में प्रदान की जाती है परत।
क्या मेरे साथ वैचारिक रूप से कुछ गलत है?तर्क? इसके अलावा, क्या कोई अन्य तंत्र है जिसे मुझे देखना चाहिए कि क्या मैं अपने क्लस्टर के सुरक्षा सेटअप में सुधार करना चाहता हूं? इस्तियो प्रामाणिक मेरे उपयोग के मामले के लिए सही नहीं है, क्योंकि मेरे पास अन्य सेवाओं को कॉल करने वाली सेवाएं बिल्कुल नहीं हैं - मेरी सभी सेवाएं एक दूसरे के साथ बातचीत नहीं करती हैं।
उत्तर:
उत्तर № 1 के लिए 1द्वारा service मुझे लगता है कि आप को देखें कुबेरनेट्स सेवा आदिम.
सेवाओं को ऊपर और नीचे जाने के लिए नहीं माना जाता हैगतिशील। आप जो उल्लेख करते हैं वह फली है जो प्रकृति में अल्पकालिक है। पॉड को "अधिक स्थायी" बनाने के लिए, एक सेवा को इसे टैग किया जाता है। जब पॉड आते हैं और जाते हैं, तो कुबेरनेट्स अपडेट करते हैं iptables लाइव पॉड्स पर ट्रैफ़िक को रूट करने के नियम।
एप्लिकेशन और इनग्रेड (लेयर 7) के बीच या क्लस्टर नेटवर्क ओवरले (लेयर 3) के बीच ट्रैफिक को एन्क्रिप्ट करके क्लस्टर के भीतर ट्रैफिक एन्क्रिप्शन प्राप्त किया जा सकता है। देख यह पन्ना अधिक जानकारी के लिए।