BK
А кто-то знает хорошие инструменты для шифрования всего трафика внутри kubernetes?
Size: a a a
2020 November 02
DD
А кто-то знает хорошие инструменты для шифрования всего трафика внутри kubernetes?
Между компонентами кластера или приложениями?
S
А кто-то знает хорошие инструменты для шифрования всего трафика внутри kubernetes?
mTLS service mesh
istio
но сказать что он хороший я не смогу
istio
но сказать что он хороший я не смогу
BK
Denis Denisov
Между компонентами кластера или приложениями?
Между всеми подами. Я использую eks, там уже есть поддержка шифрования между k8s-api
BK
Я тоже смотрел на istio, но вроде там нужно иметь доступ к kube-admin, a у меня вообще нет доступа к мастер нодам, только k8s-api
DD
mTLS service mesh
istio
но сказать что он хороший я не смогу
istio
но сказать что он хороший я не смогу
Weave еще кстати как сетевой плагин
DD
но вроде говорят сильно нагружает
c
Я тоже смотрел на istio, но вроде там нужно иметь доступ к kube-admin, a у меня вообще нет доступа к мастер нодам, только k8s-api
Истио да и памяти по 500мб на под. Но вещь
BK
Больше конечно к istio склоняюсь, но есть главный вопрос. Я смогу запустить его, используя только ресурсы самого k8s-api?
S
Больше конечно к istio склоняюсь, но есть главный вопрос. Я смогу запустить его, используя только ресурсы самого k8s-api?
что такое "ресурсы самого k8s-api"? в смысле можно ли его проинсталить внутрь кластера тупо через yaml файлы как daemonSet?
да можете
да можете
BK
Отлично, спасибо)
KG
VS
В калико уже завезли шифрование. Так что можно эту заботу перекинуть на плагин. Не тестил, сразу скажу. Но обзоры в интернете есть. Но нужно ли вам шифрование всего трафика на уровне сети? Может достаточно будет шифроваться на уровне приложений(TLS)?
BK
PCI DSS заставляет, говорит: "хоть aws имеет сертификацию, мы не можем доверять ему на все 100%, поэтому эти риски идут на вас"
BK
Про шифрование с помощью tls не спрашивал, мне просто сказали шифровать весь трафик, а у меня столько сервисов и многим нужен свой подход в настройке https, взять тот же postgres
BK
А зашифровать сразу всю сеть, выглядит простым решением
c
В калико уже завезли шифрование. Так что можно эту заботу перекинуть на плагин. Не тестил, сразу скажу. Но обзоры в интернете есть. Но нужно ли вам шифрование всего трафика на уровне сети? Может достаточно будет шифроваться на уровне приложений(TLS)?
Это будет полезно на уровне control plane между ДЦ
c
Про шифрование с помощью tls не спрашивал, мне просто сказали шифровать весь трафик, а у меня столько сервисов и многим нужен свой подход в настройке https, взять тот же postgres
Шифровать весь трафик между сегментами разными есть такое требование - шифровать трафик весь есть только для процессинга - но у вас же не процессинг правильно ? У вас нет по идее никакой критически важной платежной информации в кубере.
BK
Да, процессинг
BK
Все критические данные мы шифруем vault'ом и сохраняем в consul