进入本地基础设施上的 DMZ

ingress with DMZ on on-premise infrastructure

我有一个与设计和架构需求相关的问题,而不是第一个问题,我们有一个 kubernetes 集群来处理我们的生产工作负载,我们需要保护到这个集群的外部流量,所以我们设计了这种方法:

这是保护我们工作负载的好主意吗?

如果我们将 HAproxy 放置在 DMZ 区域中(作为 L4 只是为了负载平衡工作人员的流量,由 ingress nginx for ex 处理)它不会给我们其他级别的安全性(协议中断)

请注意,我们没有 WAF。 有什么想法吗??

同意使用两个专用节点,以实现高可用性,作为外部流量入口点。

我会使用 haproxy 入口控制器 Announcing HAProxy Kubernetes Ingress Controller 1.6 with Evolving Kubernetes networking with the Gateway API