urbernetes로 프로덕션 환경 구축을 목표로 - 네트워크 보안 편 -
2289 단어 GKEkubernetesgcp네트워크도커
소개
docker+kubernetes로 웹 애플리케이션이 움직이는 환경이 우선 구축한 것은 좋지만, 네트워크적으로 안전한지 불분명했기 때문에 조사했습니다.
시스템 구성
시스템 구성은 이런 느낌입니다.
1. IP 주소와 포트 개방 상황
외부에서 연결할 수 있는 IP 주소와 어떤 포트가 해제되었는지 확인합니다.
1.1 결과
외부에서 연결할 수 있는 IP 주소와 어떤 포트가 해제되었는지 확인합니다.
1.1 결과
1.2 조사 방법
ping, route, ifconfig, nmap을 구사하여 조사했습니다.
핑
$ ping 10.146.0.4
10.146.0.4 に ping を送信しています 32 バイトのデータ:
要求がタイムアウトしました。
要求がタイムアウトしました。
要求がタイムアウトしました。
要求がタイムアウトしました。```
nmap
$ nmap -P0 34.85.112.**
Not shown: 998 filtered ports
PORT STATE SERVICE
22/tcp open ssh
3389/tcp closed ms-term-serv```
ifconfig
Node A ~ $ ifconfig
cbr0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 1460
inet 10.52.1.1 netmask 255.255.255.0 broadcast 0.0.0.0
・・・
docker0: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500
inet 169.254.123.1 netmask 255.255.255.0 broadcast 0.0.0.0
・・・
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1460
inet 10.146.0.4 netmask 255.255.255.255 broadcast 10.146.0.4
・・・
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
・・・
2. 대책
생각보다 밖에서 액세스할 수 있는 상태가 되어 있지 않았기 때문에, 특히 없습니다. pod간 통신을 제어하려고 하면 Network Policy를 사용해 하는 것 같지만, 지금은 하지 말아 둡니다.
정말로 프로덕션 환경을 만들려고 하면, 앞에 waf라든지 ips·ids라든지 넣지 않으면 안 되겠지요.
Reference
이 문제에 관하여(urbernetes로 프로덕션 환경 구축을 목표로 - 네트워크 보안 편 -), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/yuxzux/items/5b2ebcb375d31e63977a
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
Reference
이 문제에 관하여(urbernetes로 프로덕션 환경 구축을 목표로 - 네트워크 보안 편 -), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/yuxzux/items/5b2ebcb375d31e63977a텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)