F5好文推荐 | 是时候思考 k8s 出向流量安全了(下)

最新推荐文章于 2024-08-08 17:29:51 发布
最新推荐文章于 2024-08-08 17:29:51 发布
阅读量1.1k 收藏
点赞数
分类专栏: F5 文章标签: kubernetes 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/f5networks/article/details/127111037
版权
本文深入探讨了 Kubernetes 集群出向流量(Egress)的安全管控,包括基于Service Mesh、微分段技术和融合外部安全设备的方案。强调了Egress流量的重要性,指出Service Mesh方案的局限性,微分段方案的复杂性,以及融合方案如何实现企业级的深度防御。文章提倡将外部安全设施与Kubernetes集成,以加强整体防御体系。
摘要由CSDN通过智能技术生成

作者:林静

职务:资深架构师

公司:F5

上周推出的《是时候思考 k8s 出向流量安全(上)》介绍了为何要进行 Egress 流量策略管控、存在的挑战、业界方案分析的前两个方案,本文将继续介绍 Egress 流量管控方案的剩余方案。

基于 Service Mesh 实现

Service Mesh 并不是 Egress 流量管控的专门方案,因此要通过 Service Mesh 实现 Egress 的管控意味着首先需要部署整体 Service Mesh 方案,比如 Istio。如果仅仅是为了实现 Egress 的管控,这样的方案会显得较重。Service Mesh 所支持的协议范围也较少,这对于企业的安全策略来说还不足够。

在 Istio 中,当设置 meshConfig.outboundTrafficPolicy.mode 为 REGISTRY_ONLY 后可以通过 sidecar 结合 ServiceEntry 资源实现外部服务访问的白名单。也可以通过结合 Egress Gateway 将流量导向到专门的 Egress Gateway。相比于 ServiceEntry 方法,Egress Gateway 则结合了 VirtualService 和 DestinationRule 来实现更多的控制,配合 AuthorizationPolicy 则可以控制粒度更细一些。

无论哪种方式,都必须依赖 sidecar 进行流量的劫持,如果有威胁绕开或破坏了 sidecar,则意味着有害访问可以直接绕开管控,这个安全问题在 Istio 的文档中被反复提及。所以本质上来说它不是一个很好的 Egress 流量管控方案。

同时,Service Mesh 的思维更多是面向开发者(尽管它常常体现的是平台层面的能力),所以我们依然需要回答这样一个问题:当开

最低0.47元/天 解锁文章
F5lnc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
KubernetesK8s笔记(十一):Ingress 集群进出流量总管
虚幻私塾
10-22 1057
目录*
推荐系统】FM,FFM,AFM的简要介绍
hcm_0079的博客
03-30 1827
CTR Click-through rate (CTR) is the ratio of users who click on a specific link to the number of total users who view a page, email, or advertisement. It is commonly used to measure the success of an...
根据官方文档详细说明 Kubernetes 网络流量走向,包含详细的图文说明和介绍
代码讲故事
02-03 970
根据官方文档详细说明 Kubernetes 网络流量走向,包含详细的图文说明和介绍。
二十五. Kubernetes 总结
qq_29799655的博客
05-24 291
以部署一个服务为例,先执行命令编写部署的yaml部署yaml编写完成后,运行"kubectl create -f nginx.yml",该命令首先会提交给 API Server ,然后解析 yml 文件,并对其以 API 对象的形式存到 etcd 里。k8s集群的master节点通过ControllerManager 会以控制循环的方式来做编排工作,创建应用所需的Pod。同时 Scheduler 会 watch etcd 中新 pod 的变化,如果他发现有一个新的 pod 的变化。
Sidecar及流量拦截机制-上
weixin_41989934的博客
03-16 1822
更多相关文章 个人博客 :pyenv.cc ServiceMesh基本概念 手把手教你部署istio控制平面 四个案例让你掌握istio网格功能 VirtualService实现Istio高级流量治理 DestinationRule实现Istio集群高级配置 一、Istio环境中运行Pod的要求 Service association (服务关联) Pod 必须从属于某个Service,哪怕Pod不需要暴露任何端口,否则此Pod就是一个无Service的Pod,会导致网格内部无法于相关的Sideca.
k8s-bigip-ctlr:Kubernetes和OpenShift的F5容器入口服务存储库
02-03
适用于Kubernetes和OpenShift的F5容器入口服务用于和的F5容器入口服务使F5 服务可用于在Kubernetes和OpenShift中运行的应用程序。文献资料有关如何使用此组件的说明,请参阅适用于Kubernetes和OpenShift的F5容器入口...
k8s pod-infrastructure.tgz 软件包,用于 k8s部署基础包
03-26
K8s Pod基础设施软件包详解》 在现代云计算领域,Kubernetes(简称K8s)作为容器编排的领头羊,已经成为管理和部署应用程序的标准工具。本文将深入探讨"K8s pod-infrastructure.tgz"软件包,它是构建K8s集群的...
F5中文配置手册LTM_config_guide-SC.pdf
10-27
F5负载均衡配置手册是针对专业网络管理人员打造的电子书籍,包含了有f5负载均衡配置实例讲解内容,从产品的亮点到配置技巧都一应俱全,下载后可以使用wps或者office软件打开,有购买了F5产品的朋友不要错过。
f5-k8s-demo:用于创建用于部署KubernetesOpenShift,F5容器入口服务,NGINX入口控制器的培训实验室的文件
05-26
chen-k8s-demo 埃里克·陈(Eric Chen)使用Flannel的K8s演示。 Nginx入口控制器顺式 凯文·雷诺兹(Kevin Reynolds)的NGINX入口控制器和容器入口服务实验室。 ocp4 Eric Chen的OpenShift 4演示
好文推荐 | 是时候思考 K8s 出向流量安全了 (上)
f5networks的博客
09-22 345
2021年CNCF调查显示,全球将kubernetes用在生产环境的用户占比已达59.77%,欧洲用户更是达到了68.98%。用户正越来越多的将生产业务迁移到 kubernetes 环境下。《Gartner2021 Hype Cycle for Cloud Security》也显示了容器与Kubernetes安全已处在“slope of Enlightenment”阶段。
istio :安装参数之outboundTrafficPolicy.mode
feiger的专栏
07-07 768
背景: Istio有一个安装选项meshConfig.outboundTrafficPolicy.mode,用于配置外部服务的sidecar处理,即那些未在Istio的内部服务注册表中定义的服务。如果此选项设置为ALLOW_ANY,则Istio代理允许对未知服务的调用通过。如果该选项设置为REGISTRY_ONLY,那么Istio代理将阻止没有在mesh中定义HTTP服务或服务条目的任何主机。ALLOW_ANY是默认值,无需控制对外部服务的访问。 实验 ALLOW_ANY情况下允许外部服务直接访问
F5实现k8s环境下应用自动发布
weixin_41130541的博客
04-29 2757
Kubernetes设计角度灵活的利于了clusterip实现了集群内部的服务互访,然而针对面向互联网的应用,需要实现基于集群外部的发布。满足DevOps的趋势,需要实现k8s环境下应用的自动发布。 Container Connector包含f5-k8s-controller和用户定义的“F5资源”。 f5-k8s-controller是一个可以在Kubernetes Pod中运行的Docker容...
F5实现K8S管理平面的高可用和安全
weixin_41130541的博客
04-29 2105
K8S多个主节点部署旨在以一种没有单一故障点的方式设置Kubernetes及其支持组件。单个master节点的群集很容易产生故障,而多master节点群集使用多个主节点,每个主节点都可以访问相同的工作节点。在单个主集群中,API服务器,控制器管理器等重要组件仅位于单个主节点上,如果失败,则无法创建更多服务,pod等。但是,在多master节点环境中,这些重要组件在多个节点上运行,通常生产...
DevOps研习社:PaaS平台集成解决方案——F5实现k8s环境下应用自动发布
hanniuniu11的博客
07-02 2525
关于PaaS平台集成解决方案,作者侧重F5与PaaS(K8S为例)集成的方案,将从管理平面的高可用安全、应用自动发布、蓝绿发布、可视化4点论述。本文详细阐述了观点之一,即应用自动发布。    晏顺   F5解决方案顾问 拥有十多年运营商和金融行业从业经验,2012年加入F5。 熟悉运营商核心网和金融信息系统架构,专注于客户整体架构设计和应用的快速灵捷的交付。主要研究方向为云计算,容器及DevOps...
K8S Ingress 常用配置
小五
08-08 1099
本次所有操作都是在K8S 1.26.14 上面操作,太老的版本不知道会不会有问题。更多 Ingress 配置请查看ingress-nginx 官网定义服务托管页面后段程序(为了演示使用 nginx 部署)。部署自定义页面 配置文件。
【nginx】解决k8s中部署nginx转发不会自动更新域名解析&启动失败的问题
qq_26127905的博客
08-07 814
但是如果这个服务不存在,ip1就会拿不到,从而导致启动nginx失败。(即Nginx接收并处理客户端请求的阶段)对域名的处理方式是不同的。ip改变了,代理会失败,因为nginx缓存了旧ip。这里指的容器重新创建,并非更新镜像,因为更新镜像。指定了域名服务器,在解析时是不会自动帮我们补全的。要先创建,否则nginx启动时会因为无法解析。中域名一定要写全域名,不能简写成。,在解析域名时会自动帮你补全域名。解析即可,(按照理解,默认会去根据。才解析域名,这里按理说值配置。指定域名,那么这个域名会到。
Kubernetesk8s集群资源调度
最新发布
weixin_68840588的博客
08-08 847
k8s集群资源调度
k8s1.18.0完整部署教程
m0_66570838的博客
08-08 707
本文主要详细介绍了k8s的搭建过程
F5 BIG-IP LTM 中文配置手册:本地流量管理
"F5-BIG-IP-LTM-zh.pdf 是一份关于F5服务器负载均衡的配置手册,主要针对F5的LocalTrafficManager (LTM)产品,内容包括实现原理和具体配置方法,适用于9.0版本。该文档不仅介绍了BIG-IP LTM、BIG-IP LoadBalancer ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值