172 похожих чатов

Всем привет. Обращаюсь к bare metal боярам. Кто как

наружу выставляет свои приложения? На данный момент вижу две схемы:
- отдельный хост с Nginx в качестве прокси, у которого в апстример ноды кубера и привязка к NodePort
- отдельный хост с Nginx в качестве прокси, у которого в апстример ноды кубера и привязка к External-IP
- отдельная нода кубера и только на ней запущен ingress-controller (выглядит удобно, но безопасно ли?)

20 ответов

26 просмотров

MetalLB

Hankey-Chinaski Автор вопроса
тим
MetalLB

ну это понятно, в случае EXTERNAL-IP, а можете подробнее описать схему?

Hankey-Chinaski Автор вопроса
тим
MetalLB

А не рассматривали вариант с отдельной нодой кубера в DMZ и ingress там?

Hankey Chinaski
А не рассматривали вариант с отдельной нодой кубер...

когда она упадет все сервисы станут недоступны

3 вариант делаю. А почему не безопасно? Но я не боярин =)

Hankey-Chinaski Автор вопроса
Dmitry Sergeev 🇺🇦
3 вариант делаю. А почему не безопасно? Но я не бо...

Товарищи по цеху стращают сказками, мол, ломанут ноду и завладеют кластером

Hankey Chinaski
Товарищи по цеху стращают сказками, мол, ломанут н...

звучит как чушь. Ну тип у тебя 443/80 порты наружу торчат. Что они там ломанут? Не вижу отличий в плане безопасности от 1 и 2 пункта

Hankey-Chinaski Автор вопроса
Dmitry Sergeev 🇺🇦
звучит как чушь. Ну тип у тебя 443/80 порты наруж...

да мне тоже кажется, что чушь. Правда, крыть нечем такие утверждения

Hankey Chinaski
да мне тоже кажется, что чушь. Правда, крыть нечем...

не ну это спор не по существу получается. Типо "небезопасно" но пояснить конкретику мы не можем. Бред же

Hankey Chinaski
Товарищи по цеху стращают сказками, мол, ломанут н...

> ломанут ноду Вот тут бы я поспрашивал конкретику, как именно они ломать ноду собираются. И что им мешает ломануть ноду из сетапа пункта 1. Что там nginx что здесь nginx

Hankey-Chinaski Автор вопроса
Dmitry Sergeev 🇺🇦
> ломанут ноду Вот тут бы я поспрашивал конкретик...

насколько я правильно понял позицию, она заключается с попадание на хост через баги в Nginx, какие-нибудь зеро-дейс

Hankey Chinaski
насколько я правильно понял позицию, она заключает...

ну у любом же случае какой-то nginx будет наружу торчать. В первом пункте: отдельный хост с Nginx в качестве прокси. Что мешает этот nginx в таком кейсе ломануть

Hankey-Chinaski Автор вопроса
тим
в контейнер они попадут

слушай, а это тема! ведь даже если будет нода в DMZ, то попадут максимм в контейнер, на не на сам хост

Hankey-Chinaski Автор вопроса
Dmitry Sergeev 🇺🇦
ну у любом же случае какой-то nginx будет наружу т...

да собственно ничего, но дальше якобы хэкеры не пройдут

Hankey Chinaski
насколько я правильно понял позицию, она заключает...

и я бы тут сразу попросил примеры CVE за всю историю проекта nginx, которые позволяли удаленно выполнять код на серваке

Hankey Chinaski
да собственно ничего, но дальше якобы хэкеры не пр...

почему не пройдут? Попали на nginx reverse прокси. Он куда проксирует? Правильно в ingress-controller в куб. Следовательно опять юзаем волшебную 0-day уязвимость и из reverse прокси nginx, попадаем прям в nginx-ingress controller.

Hankey-Chinaski Автор вопроса
Dmitry Sergeev 🇺🇦
и я бы тут сразу попросил примеры CVE за всю истор...

вот это подойдёт? https://www.cybersecurity-help.cz/vdb/SB2021052543

Hankey Chinaski
вот это подойдёт? https://www.cybersecurity-help.c...

нет не пойдет. Там проблема с resolver. Ее эксплуатация крайне затруднительна: > Для совершения атаки злоумышленник должен иметь возможность подделать UDP-пакеты от DNS-сервера или получить контроль над DNS-сервером

а почему только за nginx переживаете? само приложение, которое за ним, невзламываемое?

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта