Kapitel 24. Netzwerk-Segmentierung
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Kubernetes ist eine großartige Plattform für den Betrieb verteilter Anwendungen, die über das Netzwerk miteinander kommunizieren. Standardmäßig ist der Netzwerkraum in Kubernetes flach, d.h. jeder Pod kann sich mit jedem anderen Pod im Cluster verbinden. In diesem Kapitel werden wir untersuchen, wie dieser Netzwerkraum strukturiert werden kann, um die Sicherheit zu verbessern und ein leichtgewichtiges Multitenancy-Modell zu schaffen.
Problem
Namensräume sind ein wichtiger Bestandteil von Kubernetes, denn sie ermöglichen es dir, deine Workloads zu gruppieren. Sie stellen jedoch nur ein Gruppierungskonzept dar, das den Containern, die mit bestimmten Namensräumen verbunden sind, Isolationsbeschränkungen auferlegt. In Kubernetes kann jeder Pod mit jedem anderen Pod kommunizieren, unabhängig von seinem Namespace. Dieses Standardverhalten hat Auswirkungen auf die Sicherheit, vor allem, wenn mehrere unabhängige Anwendungen von verschiedenen Teams im selben Cluster betrieben werden.
Die Beschränkung des Netzwerkzugangs zu und von Pods ist für die Verbesserung der Sicherheit deiner Anwendung unerlässlich, da nicht jeder über einen Ingress auf deine Anwendung zugreifen darf. Auch der ausgehende Netzwerkverkehr für Pods sollte auf das Notwendige beschränkt werden, um den Radius eines Sicherheitsverstoßes zu minimieren.
Get Kubernetes Patterns, 2. Auflage now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
