安全考虑
默认情况下,所有提供的节点之间的所有连接(包括 etcd 集群)都通过 easyrsa 的 TLS 进行保护。
本文介绍已部署集群的安全注意事项和生产环境建议。
准备开始
本文假定您拥有一个使用 Juju 部署的正在运行的集群。
实现
TLS 和 easyrsa 的实现使用以下 layers。
layer-tls-client layer-easyrsa
限制 ssh 访问
默认情况下,管理员可以 ssh 到集群中的任意已部署节点。您可以通过以下命令来批量禁用集群节点的 ssh 访问权限。
juju model-config proxy-ssh=true
注意:Juju 控制器节点在您的云中仍然有开放的 ssh 访问权限,并且在这种情况下将被用作跳板机。
有关如何管理 ssh 密钥的说明,请参阅 Juju 文档中的 模型管理 页面。
反馈
此页是否对您有帮助?
Thanks for the feedback. If you have a specific, answerable question about how to use Kubernetes, ask it on Stack Overflow. Open an issue in the GitHub repo if you want to report a problem or suggest an improvement.