172 похожих чатов

Всем привет. Обращаюсь к bare metal боярам. Кто как

наружу выставляет свои приложения? На данный момент вижу две схемы:
- отдельный хост с Nginx в качестве прокси, у которого в апстример ноды кубера и привязка к NodePort
- отдельный хост с Nginx в качестве прокси, у которого в апстример ноды кубера и привязка к External-IP
- отдельная нода кубера и только на ней запущен ingress-controller (выглядит удобно, но безопасно ли?)

20 ответов

22 просмотра

MetalLB

Hankey-Chinaski Автор вопроса
тим
MetalLB

ну это понятно, в случае EXTERNAL-IP, а можете подробнее описать схему?

Hankey-Chinaski Автор вопроса
тим
MetalLB

А не рассматривали вариант с отдельной нодой кубера в DMZ и ingress там?

Hankey Chinaski
А не рассматривали вариант с отдельной нодой кубер...

когда она упадет все сервисы станут недоступны

3 вариант делаю. А почему не безопасно? Но я не боярин =)

Hankey-Chinaski Автор вопроса
Dmitry Sergeev 🇺🇦
3 вариант делаю. А почему не безопасно? Но я не бо...

Товарищи по цеху стращают сказками, мол, ломанут ноду и завладеют кластером

Hankey Chinaski
Товарищи по цеху стращают сказками, мол, ломанут н...

звучит как чушь. Ну тип у тебя 443/80 порты наружу торчат. Что они там ломанут? Не вижу отличий в плане безопасности от 1 и 2 пункта

Hankey-Chinaski Автор вопроса
Dmitry Sergeev 🇺🇦
звучит как чушь. Ну тип у тебя 443/80 порты наруж...

да мне тоже кажется, что чушь. Правда, крыть нечем такие утверждения

Hankey Chinaski
да мне тоже кажется, что чушь. Правда, крыть нечем...

не ну это спор не по существу получается. Типо "небезопасно" но пояснить конкретику мы не можем. Бред же

Hankey Chinaski
Товарищи по цеху стращают сказками, мол, ломанут н...

> ломанут ноду Вот тут бы я поспрашивал конкретику, как именно они ломать ноду собираются. И что им мешает ломануть ноду из сетапа пункта 1. Что там nginx что здесь nginx

Hankey-Chinaski Автор вопроса
Dmitry Sergeev 🇺🇦
> ломанут ноду Вот тут бы я поспрашивал конкретик...

насколько я правильно понял позицию, она заключается с попадание на хост через баги в Nginx, какие-нибудь зеро-дейс

Hankey Chinaski
насколько я правильно понял позицию, она заключает...

ну у любом же случае какой-то nginx будет наружу торчать. В первом пункте: отдельный хост с Nginx в качестве прокси. Что мешает этот nginx в таком кейсе ломануть

Hankey-Chinaski Автор вопроса
тим
в контейнер они попадут

слушай, а это тема! ведь даже если будет нода в DMZ, то попадут максимм в контейнер, на не на сам хост

Hankey-Chinaski Автор вопроса
Dmitry Sergeev 🇺🇦
ну у любом же случае какой-то nginx будет наружу т...

да собственно ничего, но дальше якобы хэкеры не пройдут

Hankey Chinaski
насколько я правильно понял позицию, она заключает...

и я бы тут сразу попросил примеры CVE за всю историю проекта nginx, которые позволяли удаленно выполнять код на серваке

Hankey Chinaski
да собственно ничего, но дальше якобы хэкеры не пр...

почему не пройдут? Попали на nginx reverse прокси. Он куда проксирует? Правильно в ingress-controller в куб. Следовательно опять юзаем волшебную 0-day уязвимость и из reverse прокси nginx, попадаем прям в nginx-ingress controller.

Hankey-Chinaski Автор вопроса
Dmitry Sergeev 🇺🇦
и я бы тут сразу попросил примеры CVE за всю истор...

вот это подойдёт? https://www.cybersecurity-help.cz/vdb/SB2021052543

Hankey Chinaski
вот это подойдёт? https://www.cybersecurity-help.c...

нет не пойдет. Там проблема с resolver. Ее эксплуатация крайне затруднительна: > Для совершения атаки злоумышленник должен иметь возможность подделать UDP-пакеты от DNS-сервера или получить контроль над DNS-сервером

а почему только за nginx переживаете? само приложение, которое за ним, невзламываемое?

Похожие вопросы

Обсуждают сегодня

а через ESC-код ?
Alexey Kulakov
29
30500 за редактор? )
Владимир
47
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
13
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
в JclConsole объявлено так: function CtrlHandler(CtrlType: DWORD): BOOL; stdcall; - где ваше объявление с stdcall? у вас на картинке нет stdcall
Karagy
8
Как передать управляющий символ в открытую через CreateProcess консоль? Собсна, есть процедура: procedure TRedirectThread.WriteData(Data: OEMString); var Written: Cardinal;...
Serjone
6
Ребят в СИ можно реализовать ООП?
Николай
33
program test; {$mode delphi} procedure proc(v: int32); overload; begin end; procedure proc(v: int64); overload; begin end; var x: uint64; begin proc(x); end. Уж не знаю...
notme
6
у вас два процесса. один посылает другому сигнал. у вас есть код обоих процессов? если всё не так - расскажите как оно на самом деле. а именно кто кому чего, есть-ли консоли,...
Karagy
6
Карта сайта