SPIFFE/SPIRE服务器可以安装在GKE的任意节点上吗?
Can SPIFFE/SPIRE Server be installed on GKE's any node?
SPIFFE/SPIRE服务器可以安装在GKE的任意节点上吗?如果是,集群中其他节点中的一个节点将同时安装服务器和代理。是否需要在该节点上也有代理 运行 谁是 运行 SPIRE 服务器?
请说明。
根据在 SPIRE Slack 上收到的评论
在 GKE(和其他托管的 k8s)上,您只能获得工作节点,因此无论如何都无法部署到主节点。但是,最后,运行ning SPIRE 服务器在主服务器上有优点(潜在的安全性)和缺点(可扩展性)。在实践中,这可能不太可能,但这是一个公平的辩论。
通常,您会将 SPIRE 服务器作为 StatefulSet 部署到一些符合可扩展性和可用性目标的节点,并将 SPIRE 代理作为 DaemonSet 部署到集群中每个节点上的 运行。
除非您通过 k8s 调度程序进行一些非常具体的目标部署,例如通过标签选择器为非常具体的用例(您不会 运行 任何 SPIFFE 工作负载)调度的单独节点池或节点子集,否则我处理它的方式 - 将 SPIRE 代理放在所有节点上,以便它可用于所有工作负载。
SPIFFE/SPIRE服务器可以安装在GKE的任意节点上吗?如果是,集群中其他节点中的一个节点将同时安装服务器和代理。是否需要在该节点上也有代理 运行 谁是 运行 SPIRE 服务器?
请说明。
根据在 SPIRE Slack 上收到的评论
在 GKE(和其他托管的 k8s)上,您只能获得工作节点,因此无论如何都无法部署到主节点。但是,最后,运行ning SPIRE 服务器在主服务器上有优点(潜在的安全性)和缺点(可扩展性)。在实践中,这可能不太可能,但这是一个公平的辩论。 通常,您会将 SPIRE 服务器作为 StatefulSet 部署到一些符合可扩展性和可用性目标的节点,并将 SPIRE 代理作为 DaemonSet 部署到集群中每个节点上的 运行。 除非您通过 k8s 调度程序进行一些非常具体的目标部署,例如通过标签选择器为非常具体的用例(您不会 运行 任何 SPIFFE 工作负载)调度的单独节点池或节点子集,否则我处理它的方式 - 将 SPIRE 代理放在所有节点上,以便它可用于所有工作负载。