Должен ли администратор применять HTTPS внутри сети Kubernetes или только для внешнего трафика (через входящий трафик)?

Это зависит от требований и ресурсов, от того, используете ли вы On-Prem или baremetal и т. д.

Нет требований по обеспечению безопасности трафика

Если нет требований по защите клиентского трафика внутри кластера, вы можете завершить клиентское SSLсоединение ingress-controllerи использовать его HTTPмежду модулями.

Требования безопасности

Если необходимо защитить клиентский трафик в целевом модуле, это можно сделать двумя способами.

• L3 LoadBalancerсNodePort, настроенный сSSL-проходна Ingress.
• Если трафик необходимо использовать SSL, но не обязательно доставлять его SSLнапрямую по назначению Pod, то проще реализовать это, настроивИстиоMesh with mTLS. Эта опция позволит вам направлять трафик с помощью заголовков HTTP, и вам не нужно будет вручную управлять сертификатами. Пожалуйста, проверьтеэтотЧтобы получить больше информации.

Поскольку Best Practises всегда стремятся быть максимально безопасными, всегда рекомендуется использовать безопасное соединение. Несмотря на это, в некоторых сценариях это просто не нужно.

Если ваш кластер работает в облаке и используетвнешний облачный балансировщик, ваш ingress и pods могут находиться на разных машинах или датацентрах. В этом случае вам действительно следует применить TLS от ingress до pods.

В любом случае балансировщик нагрузки и ваш кластер должны находиться в одном (желательно ограниченном) VPC.

Это также зависит от векторов атак, от которых вы защищаетесь.

Если вы обеспокоены тем, что кто-то может перехватывать трафик между вашими узлами Kubernetes, вы можете рассмотреть возможность использования сетевого плагина (CNI), поддерживающего шифрование, например WeaveNet, или поместить все свои узлы в сеть VPN с использованием Wireguard или OpenVPN.

Если вы хотите защитить службы в кластере друг от друга, вам следует рассмотреть что-то вроде Istio, которое шифрует трафик между модулями.