172 похожих чатов

Всем привет. Обращаюсь к bare metal боярам. Кто как

наружу выставляет свои приложения? На данный момент вижу две схемы:
- отдельный хост с Nginx в качестве прокси, у которого в апстример ноды кубера и привязка к NodePort
- отдельный хост с Nginx в качестве прокси, у которого в апстример ноды кубера и привязка к External-IP
- отдельная нода кубера и только на ней запущен ingress-controller (выглядит удобно, но безопасно ли?)

20 ответов

19 просмотров

MetalLB

Hankey-Chinaski Автор вопроса
тим
MetalLB

ну это понятно, в случае EXTERNAL-IP, а можете подробнее описать схему?

Hankey-Chinaski Автор вопроса
тим
MetalLB

А не рассматривали вариант с отдельной нодой кубера в DMZ и ingress там?

Hankey Chinaski
А не рассматривали вариант с отдельной нодой кубер...

когда она упадет все сервисы станут недоступны

3 вариант делаю. А почему не безопасно? Но я не боярин =)

Hankey-Chinaski Автор вопроса
Dmitry Sergeev 🇺🇦
3 вариант делаю. А почему не безопасно? Но я не бо...

Товарищи по цеху стращают сказками, мол, ломанут ноду и завладеют кластером

Hankey Chinaski
Товарищи по цеху стращают сказками, мол, ломанут н...

звучит как чушь. Ну тип у тебя 443/80 порты наружу торчат. Что они там ломанут? Не вижу отличий в плане безопасности от 1 и 2 пункта

Hankey-Chinaski Автор вопроса
Dmitry Sergeev 🇺🇦
звучит как чушь. Ну тип у тебя 443/80 порты наруж...

да мне тоже кажется, что чушь. Правда, крыть нечем такие утверждения

Hankey Chinaski
да мне тоже кажется, что чушь. Правда, крыть нечем...

не ну это спор не по существу получается. Типо "небезопасно" но пояснить конкретику мы не можем. Бред же

Hankey Chinaski
Товарищи по цеху стращают сказками, мол, ломанут н...

> ломанут ноду Вот тут бы я поспрашивал конкретику, как именно они ломать ноду собираются. И что им мешает ломануть ноду из сетапа пункта 1. Что там nginx что здесь nginx

Hankey-Chinaski Автор вопроса
Dmitry Sergeev 🇺🇦
> ломанут ноду Вот тут бы я поспрашивал конкретик...

насколько я правильно понял позицию, она заключается с попадание на хост через баги в Nginx, какие-нибудь зеро-дейс

Hankey Chinaski
насколько я правильно понял позицию, она заключает...

ну у любом же случае какой-то nginx будет наружу торчать. В первом пункте: отдельный хост с Nginx в качестве прокси. Что мешает этот nginx в таком кейсе ломануть

Hankey-Chinaski Автор вопроса
тим
в контейнер они попадут

слушай, а это тема! ведь даже если будет нода в DMZ, то попадут максимм в контейнер, на не на сам хост

Hankey-Chinaski Автор вопроса
Dmitry Sergeev 🇺🇦
ну у любом же случае какой-то nginx будет наружу т...

да собственно ничего, но дальше якобы хэкеры не пройдут

Hankey Chinaski
насколько я правильно понял позицию, она заключает...

и я бы тут сразу попросил примеры CVE за всю историю проекта nginx, которые позволяли удаленно выполнять код на серваке

Hankey Chinaski
да собственно ничего, но дальше якобы хэкеры не пр...

почему не пройдут? Попали на nginx reverse прокси. Он куда проксирует? Правильно в ingress-controller в куб. Следовательно опять юзаем волшебную 0-day уязвимость и из reverse прокси nginx, попадаем прям в nginx-ingress controller.

Hankey-Chinaski Автор вопроса
Dmitry Sergeev 🇺🇦
и я бы тут сразу попросил примеры CVE за всю истор...

вот это подойдёт? https://www.cybersecurity-help.cz/vdb/SB2021052543

Hankey Chinaski
вот это подойдёт? https://www.cybersecurity-help.c...

нет не пойдет. Там проблема с resolver. Ее эксплуатация крайне затруднительна: > Для совершения атаки злоумышленник должен иметь возможность подделать UDP-пакеты от DNS-сервера или получить контроль над DNS-сервером

а почему только за nginx переживаете? само приложение, которое за ним, невзламываемое?

Похожие вопросы

Обсуждают сегодня

Мужики и девушки, привет) в Вelphi xe7 в настройках во вкладке "Editor Options" далее " Color" есть список: "Elements", открыв который мы можем настраивать отображение разных...
Kraszx
14
Добрый вечер. Есть вопрос, а может и предложение. Был у меня диалог в другой группе о делфи и я задался вопросом: "А нельзя ли в делфи цвет //коментария и {комментария} сде...
Kraszx
24
Всем привет! Подскажи, пожалуйста, как передать в TComboBox сразу значение и id записи. На Delphi я делал так: ComboBox1.Items.AddObject('Какое-то значение', Pointer(id запис...
Евгений
13
А вот это что за конструкция? Вернее, она тут нафига?
Serjone
10
Мдя, прикол, боевая сборка запускается (именно под отладчиком) после F9 примерно полторы минуты (97 секунд если быть точным). Начал копать - проблема детектится сразу - зависа...
Александр (Rouse_) Багель
38
Мужики. привет) в Вelphi xe7 в настройках во вкладке "Editor Options" далее " Color" есть список: "Elements", открыв который мы можем настраивать отображение разных элементов...
Kraszx
2
Здравствуйте, вопрос по структурам данных. Были у вас случаи, когда пришлось писать деревья или двунаправленные списки?
/ /
50
Товарищи, кто работа с iphelper? Или может я в самой логике ошибки фигачу, не пойму.... var ifTable : PMIB_IFTABLE; size, corSize: DWORD; Buffer ...
Warfarellen
4
я так понимаю, я так подозреваю, что создание такого плагина для человека, кто умеет писать плагины для делфи потребует минут 5-10 времени. но это мое подозрение. хотелось бы ...
Kraszx
7
Всем привет! Кто пользуется DevExpress, подскажите пожалуйста, реализован ли в TcxGrid в новых версиях поиск по датам как в Экселе (ну т.е. не просто список чекбоксов со значе...
A Z
4
Карта сайта