kubectl exec对ssh使用bastion

Question

KOPS允许我们创建一个Kubernetes集群以及一个对集群节点具有ssh访问权限的堡垒。

通过这种设置，使用kubectl与Kubernetes服务器交互仍然安全吗？

kubectl也可以用来与豆荚上的外壳进行交互？这需要限制吗？

如果有的话，需要采取哪些预防措施？是否应该只通过堡垒才能访问Kubernetes API服务器？

Answer 1

使用默认的Kops设置部署Kubernetes集群根本不安全，因此不应该在生产中使用。可以使用kops编辑命令执行多个配置设置。在通过Kops创建Kubnertes集群之后，应该考虑以下几点：

• 私有子网中的集群节点(现有的私有子网可以使用最新版本的kops指定--子网)
• 私有API LoadBalancer (-api-负载平衡器-类型内部)
• 将API负载平衡器限制在某些私有IP范围内(--admin-access 10.xx.xx.xx/24)
• 将SSH访问群集节点的权限限制在特定IP上(-ssh- access XX.XX/32)
• 硬映像也可以作为群集节点(--映像)提供。
• 授权级别必须是RBAC。使用最新的Kubernetes版本，RBAC默认启用。
• 可以通过在Kops编辑集群中的配置启用审计日志。kubeAPIServer: auditLogMaxAge: 10 auditLogMaxBackups: 1 auditLogMaxSize: 100 auditLogPath: /var/log/kube-apiserver-audit.log auditPolicyFile: /srv/kubernetes/audit.yaml

Answer 2

Kops提供了合理的缺省值，所以简单的答案是:在配置之后使用kops提供的基础设施是相当安全的。