наружу выставляет свои приложения? На данный момент вижу две схемы:
- отдельный хост с Nginx в качестве прокси, у которого в апстример ноды кубера и привязка к NodePort
- отдельный хост с Nginx в качестве прокси, у которого в апстример ноды кубера и привязка к External-IP
- отдельная нода кубера и только на ней запущен ingress-controller (выглядит удобно, но безопасно ли?)
MetalLB
ну это понятно, в случае EXTERNAL-IP, а можете подробнее описать схему?
А не рассматривали вариант с отдельной нодой кубера в DMZ и ingress там?
когда она упадет все сервисы станут недоступны
3 вариант делаю. А почему не безопасно? Но я не боярин =)
Товарищи по цеху стращают сказками, мол, ломанут ноду и завладеют кластером
звучит как чушь. Ну тип у тебя 443/80 порты наружу торчат. Что они там ломанут? Не вижу отличий в плане безопасности от 1 и 2 пункта
да мне тоже кажется, что чушь. Правда, крыть нечем такие утверждения
не ну это спор не по существу получается. Типо "небезопасно" но пояснить конкретику мы не можем. Бред же
> ломанут ноду Вот тут бы я поспрашивал конкретику, как именно они ломать ноду собираются. И что им мешает ломануть ноду из сетапа пункта 1. Что там nginx что здесь nginx
насколько я правильно понял позицию, она заключается с попадание на хост через баги в Nginx, какие-нибудь зеро-дейс
в контейнер они попадут
ну у любом же случае какой-то nginx будет наружу торчать. В первом пункте: отдельный хост с Nginx в качестве прокси. Что мешает этот nginx в таком кейсе ломануть
слушай, а это тема! ведь даже если будет нода в DMZ, то попадут максимм в контейнер, на не на сам хост
да собственно ничего, но дальше якобы хэкеры не пройдут
и я бы тут сразу попросил примеры CVE за всю историю проекта nginx, которые позволяли удаленно выполнять код на серваке
почему не пройдут? Попали на nginx reverse прокси. Он куда проксирует? Правильно в ingress-controller в куб. Следовательно опять юзаем волшебную 0-day уязвимость и из reverse прокси nginx, попадаем прям в nginx-ingress controller.
вот это подойдёт? https://www.cybersecurity-help.cz/vdb/SB2021052543
нет не пойдет. Там проблема с resolver. Ее эксплуатация крайне затруднительна: > Для совершения атаки злоумышленник должен иметь возможность подделать UDP-пакеты от DNS-сервера или получить контроль над DNS-сервером
а почему только за nginx переживаете? само приложение, которое за ним, невзламываемое?
Обсуждают сегодня