我有一个与设计和架构需求相关的问题,而不是问题一,我们有一个 kubernetes 集群来处理我们的生产工作负载,我们需要保护该集群的外部流量,所以我们设计了这种方法:
对于保护我们的工作负载来说这是一个好主意吗?
如果我们将 HAproxy 放置在 DMZ 区域中(作为 L4,只是为了将流量负载平衡到由入口 nginx 处理的工作人员),它不会为我们提供其他级别的安全性(协议中断)
请注意,我们没有 WAF。 有什么想法吗??
同意使用两个专用节点,以实现高可用性,作为外部流量入口点。
我将使用 haproxy 入口控制器 发布 HAProxy Kubernetes Ingress Controller 1.6 以及 使用网关 API 发展 Kubernetes 网络
HAProxy 有一个外部模式,您可以在单独的机器上而不是在 Pod 上运行入口控制器。因此,您可以将入口控制器机器放置到 DMZ:https://www.haproxy.com/documentation/kubernetes-ingress/community/installation/external-mode-on-premises/