ssl - 每个集群的证书还是每个服务提供商的证书?
问题描述
我们有接受请求并创建弹性搜索集群的服务提供商。
颁发 ssl 证书的最佳做法是什么?1. 我们应该为每个集群颁发证书吗?2.或者我的服务提供商的一个集群应该足够了,哪个将用于访问集群?
我假设在创建集群时颁发新证书会更好。
请给我输入。
另外,在集群内部,我真的需要启用 ssl 以便 pod 相互通信并通过证书吗?
解决方案
是的,您绝对应该使用 TLS 来加密在共享和托管 K8S 版本 (GKE) 上运行的 Elasticsearch 集群的进出和内部的网络流量。
此外,我会选择最大限度地分离客户空间:
- Kubernetes 命名空间
- 命名空间服务帐户/角色绑定
,甚至基于 PD-SSD 的卷,带有客户提供的加密密钥
我不确定您是否知道“ Elastic Cloud on Kubernetes ”(ECK)的存在——它应用 Kubernetes Operator 模式在 GCP 中您自己的 K8S 集群上运行和操作 Elasticsearch 集群。将其视为以最安全的方式运行 Elasticsearch 集群的最佳实践的集合,这里有一个快速入门教程。
推荐阅读
- amazon-redshift - Amazon Redshift 中的每周开始(周日开始)
- android - 将应用程序设置为 minSdkVersion 9 时遇到问题
- c# - 使用申请表c#删除停用词
- python - f.读取 I/O 差异
- c++ - 为什么 `std::for_each_n` 无法编译?
- python - 写视频时出现“文件类型不支持、文件扩展名不正确、文件损坏”如何解决?
- python - 如何使用win32gui和win32api在windows中定位和移动窗口,使用python
- python - 将列表中的多个项目传递给函数
- spring-boot - 如何通过 REACTIVE feign 客户端使用基本身份验证保护的 Restful Web 服务
- javascript - 如何在一行中显示数组列表中的一定数量的项目