K8s服务网格(使用Sidecar代理)：不可信节点上的Pod安全性

Question

想知道当一个pod的侧代理和pod的应用程序穿越本地主机网络栈(也许使用一个eBPF模块)时，是否可以拦截它之间的通信？

如果租户不信任/控制运行其吊舱的节点，那么它能否保证其通信量的安全性？

非常感谢。

编辑:在不受信任的基础设施上可以保证流量安全吗？那么，如何信任共享基础设施呢？

Answer 1

想知道当它穿越本地主机网络堆栈(可能使用eBPF模块)时，是否可以截获pod的侧代理和pod应用程序之间的通信？

是的，使用eBPF TC或XDP程序可以检查甚至更改本地接口上的数据包。

尽管应该注意，您还可以使用类似tcpdump使用的原始套接字检查本地通信量(这需要与eBPF相同的权限)。

如果租户不信任/控制运行它的豆荚的节点，那么

能否保证其通信量的安全性？

这在很大程度上取决于线程模型。只有具有根访问权限或特殊功能的用户才能使用eBPF。如果不是不可能，也很难防止根级访问，因为这样的用户也可以访问您的应用程序内存。

但是，即使是在本地主机上，使用可靠的加密也不是一种好的做法。

有可能在不可信的基础设施上保证流量安全吗？那么，如何信任共享基础设施呢？

你必须在某个地方划一条线，确切的位置完全取决于你自己，并取决于你的秘密有多重要，以及你试图从谁那里保守它们。也许您可以信任您的基础设施提供商，但是您信任虚拟机管理程序软件吗？还是实际的硬件？这两种产品都很可能不是由您的基础设施提供商制造的。