【发布时间】:2019-08-20 17:46:52
【问题描述】:
我正在设置一个
EKS 集群在 AWS 上,我想保护 Kuberentes 集群中的所有传输中的数据(以及 EKS 和外部系统之间的数据,但这超出了这里的范围) )。
在 Kubernetes 中,不同 pod 之间使用不同的协议,主要是 Rest/HTTP 以及 microservice-pods with a KafkaBroker 和 microservice-pods and database pods 之间的 JDBC 之间的通信/strong> (Zalando Postgres),在 filebeat-pod and elasticsearch、...
我看到了几个选项,但我不喜欢其中任何一个。
- 单独加密每个通信 --> 工作量太大。运营噩梦
- Istio 或 LinkerD --> 仅适用于 Http 和 gRPC,不适用于 KafkaCommunication。重型控制平面。
- 像 WeaveNet 这样的 CNI --> 不支持 SecurityGroups、FlowLogs、ACL
还有更好的选择吗? 您会推荐这些选项中的任何一个吗?
【问题讨论】:
-
为什么不在集群前面扔一个容器或一个 lambda 函数并在上面做所有繁重的工作?
-
@Stargazer 如果使用 lambda 函数,如果保留底层协议,EKS 集群和 lambda 函数之间的通信将不会被加密。另外,这将需要更改整个网络流以将数据包推送到 lambda
-
请注意,Istio 支持加密任何 TCP 协议的流量。
-
@VadimEisenberg 我已经看到了,但我也看到了 kafka 协议不适用于 istio 的问题。我必须再调查一下。谢谢。
-
@christian Istio 无法理解 Kafka 协议,但我认为 Istio 可以将 Kafka 作为普通 TCP 处理。
标签: amazon-web-services kubernetes istio amazon-eks cni