使用TLS保护从入口到Kubernetes中服务的连接

Question

我正在使用入口规则中配置的TLS连接来保护我的Kubernetes集群，这实际上是在负载均衡器处终止SSL连接。到目前一切尚好。

出现了一个关于保护从负载均衡器到Kubernetes集群中运行的每个服务的连接是否有意义的问题。我对Kubernetes的工作原理的理解是，服务应该能够动态地上下运行，而不能保证内网it保持不变，因此尝试通过TLS连接来保护服务是没有意义的。此外，由于每个服务都不能直接向公共互联网公开(我的配置是使用Istio配置单个入口规则和路由规则，将负责路由到不同的服务)，因此安全性是在网络层提供的。

我的推理有什么概念上的错误吗？另外，如果我想改善我的集群的安全设置，有没有其他我应该考虑的机制？Istio Auth不适合我的用例，因为我根本没有服务调用其他服务-我的所有服务都不相互交互。

Answer 1

关于service，我假设您指的是kubernetes Service primitive。

服务不应该是动态升降的。您所指的是Pod，它本质上是短暂的。要使Pod“更持久”，需要将服务标记到它。当Pod来来去去时，kubernetes会更新iptables规则以将流量路由到实时Pod。

群集内的流量加密可通过加密应用程序与入口之间的流量(第7层)或群集网络重叠(第3层)上的流量来实现。有关详细信息，请参阅this page。