如何在库伯奈特运行的吊舱上实现零信任概念？

Question

正在考虑使用大使设计模式，并在反向代理和ACL中使用Waf (mod_security或Naxsi)通过Nginx过滤每个请求，并对pod进行身份验证和授权。

什么是最佳做法？

如何防止网络中每个微业务(vlan、vpc或类似业务)的“软腹”

谢谢,

Answer 1

如果您想为东西通信加强Kubernetes集群，那么您通常可以使用Kubernetes网络策略API。这将允许您将流量限制到特定的白色源和目的地，基于Kubernetes标签和/或CIDR范围。

除了k8s提供的基本功能之外，您还可以根据您正在使用的CNI提供程序来补充它的附加策略选项。例如，纤毛和卡利科都支持制定全球网络政策，以便在集群网络中建立基线安全。