Мы сначала развертываем кластер Kubernetes нашей компании (с поддержкой RBAC) для внутреннего использования. Сотрудникам должен быть разрешен доступ к нему с их собственными учетными данными (на основе сертификатов). Кластер доступен онлайн и размещен в центре обработки данных.
Должны ли мы разрешить доступ только через SSH-туннель / вход в систему или сохранить его, чтобы опубликовать сервер API и запретить анонимный вход?
Ценю любой совет!
Ответ на ваш вопрос во многом зависит от вашей способности защитить общедоступную конечную точку.
Однако, для справки, модель GKE имеет конечную точку сервера API. публично выставлен для аутентификации. Это означает, что анонимный вход отключен.
Кроме того, у них есть функция частного кластера который также предоставляет конечную точку сервера API, но на этот раз он ограничен определенными CIDR, что означает, что только определенные диапазоны могут аутентифицироваться в общедоступной конечной точке.
Если вы сложите эти два вместе, вы можете решить эту проблему, открыв API-сервер только известным адресам вашего клиента.
Раньше частный кластер на GKE требовал для подключения хоста-бастиона, поэтому ваш вторичный подход также мог быть допустимым, но менее удобным.