1. घर
  2. सवाल और जवाब
  3. नोड्स और फली के बीच यातायात को एन्क्रिप्ट करने के लिए कुबेरनेट को कॉन्फ़िगर कैसे करें?

नोड्स और फली के बीच यातायात को एन्क्रिप्ट करने के लिए कुबेरनेट को कॉन्फ़िगर कैसे करें?

2017-08-02 17 views
5

एचआईपीएए अनुपालन की तैयारी में, हम अपने कुबेरनेट क्लस्टर को बेड़े में (सभी फली के बीच) में सुरक्षित अंतराल का उपयोग करने के लिए संक्रमण कर रहे हैं। चूंकि क्लस्टर वर्तमान में HTTP कनेक्शन का उपयोग कर लगभग 8-10 सेवाओं से बना है, इसलिए यह कुबर्नेट्स द्वारा इसकी देखभाल करने के लिए बहुत उपयोगी होगा।नोड्स और फली के बीच यातायात को एन्क्रिप्ट करने के लिए कुबेरनेट को कॉन्फ़िगर कैसे करें?

विशिष्ट हमले वेक्टर जिसे हम इसके साथ संबोधित करना चाहते हैं वह नोड्स (भौतिक सर्वर) के बीच पैकेट स्नीफिंग है।

इस सवाल को दो भागों में टूट जाती है:

  • करता Kubernetes फली डिफ़ॉल्ट रूप से & नोड्स के बीच यातायात को एन्क्रिप्ट?
  • यदि नहीं, तो क्या इसे कॉन्फ़िगर करने का कोई तरीका है?

बहुत धन्यवाद!

स्रोत

2017-08-02 Silver Dragon

उत्तर

1

असल में सही उत्तर "यह निर्भर करता है"। मैं क्लस्टर को 2 अलग-अलग नेटवर्कों में विभाजित करूंगा।

1. नियंत्रण विमान नेटवर्क

इस नेटवर्क भौतिक नेटवर्क या दूसरे शब्दों में बुनियाद नेटवर्क का है।

k8s नियंत्रण-विमान तत्व - क्यूब-एपिसर्वर, क्यूब-कंट्रोलर-मैनेजर, क्यूब-शेड्यूलर, क्यूब-प्रॉक्सी, क्यूबलेट - एक दूसरे से विभिन्न तरीकों से बात करें। कुछ एंडपॉइंट्स (उदाहरण के लिए मेट्रिक्स) को छोड़कर, सभी एंडपॉइंट्स पर एन्क्रिप्शन को कॉन्फ़िगर करना संभव है।

यदि आप भी पेंटस्टिंग कर रहे हैं, तो kubelet authn/authz भी चालू किया जाना चाहिए। अन्यथा, एन्क्रिप्शन कुबेलेट में अनधिकृत पहुंच को रोकता नहीं है। यह एंडपॉइंट (पोर्ट 10250 पर) आसानी से अपहरण किया जा सकता है।

2. क्लस्टर नेटवर्क

क्लस्टर नेटवर्क फलियाँ, जो भी ओवरले नेटवर्क के रूप में जाना जाता है के द्वारा प्रयोग किया जाता है। एन्क्रिप्शन को लागू करने के लिए तीसरे पक्ष के ओवरले प्लगइन पर छोड़ा गया है, जिसमें विफल रहा है, ऐप को कार्यान्वित करना है।

द वेव ओवरले supports encryption। सेवा जाल लिंकर है कि @ लुकास-एचलर ने सुझाव दिया है कि यह भी प्राप्त कर सकता है, लेकिन एक अलग नेटवर्किंग परत पर।

स्रोत

2017-08-03 10:09:48

0

नहीं है, डिफ़ॉल्ट Kubernetes

मैं व्यक्तिगत रूप से यह प्रयास नहीं किया है द्वारा यातायात को एनक्रिप्ट नहीं है, लेकिन Calico software defined network पर वर्णन पहले से ही की जा रही kubernetes friendly

का अतिरिक्त लाभ के साथ, तुम क्या वर्णन कर रहे हैं की ओर उन्मुख लगता है

मैंने सोचा था कि केलिको देशी एन्क्रिप्शन किया था, लेकिन this GitHub issue के आधार पर यह वे IPSEC की तरह एक समाधान का उपयोग करना चाहिये हैं, जैसे आप एक पारंपरिक मेजबान

स्रोत

2017-08-02 06:51:25

1

करता Kubernetes encry एन्क्रिप्ट करने के लिए लगता है डिफ़ॉल्ट रूप से फली & नोड्स के बीच यातायात को पॉट करता है?

कुबर्नेट्स किसी भी ट्रैफ़िक को एन्क्रिप्ट नहीं करता है।

linkerd जैसे servicemeshes हैं जो आपको आसानी से आपके http सेवा के बीच https संचार शुरू करने की अनुमति देते हैं।

आप प्रत्येक नोड पर सेवा जाल का एक उदाहरण चलाएंगे और सभी सेवाएं सेवा जाल से बात करेंगी। सेवा जाल के अंदर संचार एन्क्रिप्ट किया जाएगा।

उदाहरण: - दूरस्थ सेवा करने के लिए स्थानीय होस्ट https-> remoteNode -http->

आपकी सेवा -http-> स्थानीय होस्ट नोड servicemesh करने के लिए।

जब आप अपनी सेवा के रूप में उसी पॉड में सेवा जाल नोड चलाते हैं तो स्थानीयहोस्ट संचार एक निजी वर्चुअल नेटवर्क डिवाइस पर चलाएगा जो कोई अन्य पॉड एक्सेस नहीं कर सकता है।

स्रोत

2017-08-02 09:11:47

संबंधित मुद्दे

 संबंधित मुद्दे