Kubernetes 中的微服务安全模式
本博客是我们关于 2022 年 3 月微服务的 Kubernetes 网络五部分系列文章的第四篇:
- 项目概述: 微服务 2022 年 3 月: Kubernetes 网络
- 第一单元: 为高流量网站构建 Kubernetes 集群
- 第二单元: 在 Kubernetes 中公开 API
- 第三单元: Kubernetes 中的微服务安全模式(本博文)
- 第四单元: 高级 Kubernetes 部署策略
另外请务必下载我们的免费电子书《使用 NGINX 管理 Kubernetes 流量》: 实用指南,提供有关使用 NGINX 实现 Kubernetes 网络的详细指导。
掌握南北流量只是一个开始......一旦您的服务开始在集群内进行通信(即东西流量),您就会遇到一系列全新的问题! 第 3 单元回答以下问题:如何确保我的 API 和应用程序可以投入生产?
三项活动将逐步引导您从高层概述到实际应用。 我们建议您完成全部三个以获得最佳体验。
步骤 1: 观看直播(1 小时)
每次微服务三月直播都会提供该主题的高级概述,由来自learnk8s和 NGINX 的主题专家主持。如果您错过了3 月 21 日的直播,请不要担心! 您可以根据需要观看。
在本集中,我们将介绍:
- Sidecar 模式
- 使服务更安全、更具弹性的政策
- 服务网格
- 相互 TLS (mTLS)
- 端到端加密
第 2 步: 深化你的知识(1-2 小时)
我们预计您在直播结束后会有更多疑问——这就是我们精选一系列相关阅读材料和视频的原因。 本单元深入探讨如何保护您的 Kubernetes 应用程序和 API。
在这个 35 分钟的直播中,我们将探讨安全趋势、将安全控制转移到您的 Kubernetes 环境,以及 Kubernetes 安全在缓解 API 漏洞方面的作用。
各组织采用 Kubernetes 是因为它具有灵活性和节省成本的优点。 但是,当 Kubernetes 环境中出现安全事故时,大多数组织都会将其 Kubernetes 部署撤出生产。 在这篇博客中,我们讨论了六种常见用例,您可以使用 Ingress 控制器或服务网格解决这些用例,同时对您的应用程序和 API 的安全性产生重大影响。
为 Kubernetes 驱动的基础设施和应用部署零信任可能具有挑战性。 本博客包含在 Kubernetes 中构建零信任架构的一组指南。
此时,您可能还想知道服务网格以及它们是否是您的组织所需要的。
观看此点播网络研讨会,了解服务网格准备情况、数据平面的重要性以及 NGINX 服务网格的演示。
奖金研究
如果您渴望加深对安全和服务网格的了解 - 并且有超过 1-2 个小时的时间 - 那么我们建议您使用另外三个资源来帮助您入门。
探索在 Kubernetes 内部复制应用服务的好处,并了解一些为在 Kubernetes 中运行的应用部署服务(例如 WAF)的成熟实践。 我们讨论不同选项之间的权衡以及最重要的标准,以帮助您做出最佳决策。
步骤3: 亲身实践(1 小时)
即使有最好的网络研讨会和研究,也没有什么比亲自接触技术更重要的了。 实验室将引导您完成常见的场景以强化您的学习。
在我们的第三个自主进度实验室“保护 Kubernetes 应用程序免受 SQL 注入”中,您可以使用 NGINX 作为 sidecar 来保护 pod 并拦截不需要的东西向流量。
要进入实验室,您需要注册2022 年 3 月的微服务。 如果您已经注册,您收到的包含单元 3 学习指南的电子邮件将包含访问说明。 或者,您也可以使用NGINX 教程在自己的环境中试用该实验室: 以保护 Kubernetes 应用程序免受 SQL 注入为指南。
为什么要注册参加微服务游行?
虽然有些活动(直播和博客)是免费的,但我们只需要收集一点个人信息,就能让您获得完整的体验。 注册可让您:
- 访问四个自主进度实验室,你可以通过常见场景亲身体验该技术
- 加入“微服务三月” Slack 频道,向专家提问并与其他参与者交流
- 每周学习指南助你掌握最新动态
- 直播日历邀请
下一步是什么?
第四单元: 高级 Kubernetes 部署策略将于 3 月 28 日开始。 了解使用流量分割、蓝绿部署、跟踪和实时映射流量等策略实现零停机部署。
有关使用 NGINX 实现 Kubernetes 网络的详细指导,请下载我们的电子书《使用 NGINX 管理 Kubernetes 流量》: 实用指南。
“这篇博文可能引用了不再可用和/或不再支持的产品。 有关 F5 NGINX 产品和解决方案的最新信息,请探索我们的NGINX 产品系列。 NGINX 现在是 F5 的一部分。 所有之前的 NGINX.com 链接都将重定向至 F5.com 上的类似 NGINX 内容。”