Как стать автором
Поиск
Написать публикацию
Обновить

Комментарии 2

А можно вопросов?

  • вы как-то защищаете etcd от чтения кем-либо, кроме системных подов control plane?

  • есть ли на уровне сетевых политик запрет на доступ к kubelet и kube-api-server из обычных подов? И если есть - то как реализовывали?

  • пользуетесь ли HostEndpoint и GlobalNetworkPolicy в Calico, чтобы настраивать файрволы на уровне нод? Или это решаете уровнем выше?

Спасибо, кстати, за статью - было интересно.

Всего голосов 2: ↑2 и ↓0+2

Конечно!

  • Лучше изолировать etcd от остального control-plane в отдельной подсети, разрешить к нему доступ только из доверенных источников и только при верификации сертификатов. Например у нас есть пайплайн который создает определенные ippools в calico с нужным октетом, для этого с билд-сервера нужна связность до etcd кластера и определенные сертификаты для доступа на чтение или запись.

  • К Kubelet доступ не ограничивается сетевыми политиками (если только к метрикам), а вот к api-server можно и нужно. Для анализа источников запросов можно использовать инструмент https://github.com/kinvolk/inspektor-gadget. Мы проанализировали трафик с кластеров, и оставили доступ к api только тем приложениям, которым он действительно нужен, а для остальных ограничили доступ написав специальный NetworkPolicy

  • Да, чтобы использовать этот функционал мы обновились на свежую версию Calico, сейчас комбинируем как внешние фаервольные решения так и внутренние

Всего голосов 1: ↑1 и ↓0+1
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr