Kubernetes API 安全 SSH 隧道

我們首先部署我們的公司（啟用 RBAC）kubernetes 集群供內部使用。應該允許員工使用他們自己的（基於證書的）憑據訪問它。該集群線上可用並託管在數據中心中。

我們應該只允許通過 SSH 隧道/登錄進行訪問，還是保存發布 API 伺服器並禁止匿名登錄？

感謝任何建議！

您的問題的答案在很大程度上取決於您自己保護公開暴露端點的能力。

但是，作為參考，GKE 模型公開了 API 伺服器端點以進行身份驗證。這意味著匿名登錄被禁用。

此外，它們還具有公開 API 伺服器端點的私有集群功能，但這次它僅限於某些 CIDR，這意味著僅允許某些範圍對公共端點進行身份驗證。

如果將這兩者放在一起，您可以通過僅將 API 伺服器公開給您已知的客戶端地址來解決此問題。

過去，GKE 上的私有集群需要連接堡壘主機，因此您的輔助方法可能也有效但不太方便。

引用自：https://serverfault.com/questions/977536