安全最佳实践

    如果有多个运维人员(也称为 SRE)在大型或中型集群中部署不同的服务,我们建议为每个 SRE 团队创建一个单独的 ,以隔离他们的访问权限。例如,您可以为 创建一个 team1-ns 命名空间,为 team2 创建一个 team2-ns 命名空间,以使两个团队无法访问彼此的服务。

    让我们考虑一个具有三项服务的三层应用程序:photo-frontendphoto-backenddatastore。photo SRE 团队管理 和 photo-backend 服务,而 datastore SRE 团队管理 datastore 服务。photo-frontend 服务可以访问 photo-backend,而 photo-backend 服务可以访问 datastore。但是,photo-frontend 服务无法访问 。

    在这种设置下,Kubernetes 可以隔离管理服务的操作特权。Istio 管理所有命名空间中的证书和密钥,并对服务实施不同的访问控制规则。