docker - 是否可以在可能受到物理危害的主机上运行 Kubernetes 节点?
问题描述
目前我正在做一个项目,我们有一个受信任的主服务器和多个不受信任的(物理上位于不安全的位置)主机(它们都是彼此在不同物理位置的副本)。
我们正在使用 Ansible 来自动化设置和配置管理,但是我对我们在开发和测试环境以及生产环境中的差距以及我们在网络配置中的一般复杂性感到非常不满意作为容器本身。
我很好奇 Kubernetes 是否会是一个很好的选择?基本上,所有不受信任的主机上的同一 pod 的多个唯一副本必须保持运行,并且主机之间的通信应该受到限制,并且只允许在同一主机中的特定容器之间以及主机和主服务器之间的特定容器之间进行通信.
解决方案
这里有点缺乏信息。我将做出以下假设:
- K8s 节点不可信
- K8s 大师值得信赖
- K8s 节点不能相互通信
- 同一主机上的容器可以相互通信
Kubernetes在以下模型上运行:
- 所有容器都可以在没有 NAT 的情况下与所有其他容器通信
- 所有节点都可以在没有 NAT 的情况下与所有容器通信(反之亦然)
- 容器认为自己的 IP 与其他人认为的 IP 相同
牢记这一点,你会在这里做你想做的事有一些困难。
如果您可以更改您的物理网络要求,并确保所有节点可以相互通信,您也许可以使用Calico 的网络策略在 pod 级别隔离访问,但这完全取决于您的灵活性。
推荐阅读
- python - 配置文件方法
- c - 如何在 C 中更改二维数组的内容?
- css - 使用 CSS 动画逐渐淡入段落
- javascript - 根据用户输入更新 Yup 模式
- google-bigquery - Bigquery 窗口 ID
- angular - okta Angular 7 oktaAuth.isAuthenticated() 即使在成功登录后也是假的
- android - 有反应本机发送消息到本地主机计算机服务器
- jquery - jQuery - 获取直到滚动才加载的 DOM 元素
- wso2 - 为什么 WSO2AM 一遍又一遍地对 mb_metadata 表执行计数查询?
- sql - 如何在 SQL 中计算上一年的销售数据