← До списку лабораторних по Kubernetes
Повний опис / сценарій лабораторної:
Мета: спроєктувати варіант коли доступ до кластера можливий лише через проміжний вузол. Крок 1. Намалювати схему доступу до api сервера. Пояснення: де знаходиться api сервер, хто до нього підʼєднується. Крок 2. Визначити bastion host. Пояснення: це вузол через який проходитимуть усі адмінські зʼєднання. Крок 3. Налаштувати vpn або ssh доступ до bastion. Пояснення: доступ з робочих станцій має йти тільки туди. Крок 4. Обмежити доступ до api за ip. Пояснення: дозволи тільки адресу bastion у firewall або security group. Крок 5. Перевірити kubectl з bastion. Пояснення: переконайся що з bastion можна працювати з кластером. Крок 6. Спробувати kubectl з робочої машини без тунелю. Пояснення: доступ має бути заборонений. Крок 7. Налаштувати ssh tunnel або kubeconfig proxy через bastion. Пояснення: робоча станція підʼєднується до bastion, а той до api. Крок 8. Продумати логування доступів. Пояснення: всі дії через bastion мають логуватися. Крок 9. Перевірити що користувач без правильних ключів не може отримати доступ. Пояснення: спробуй підʼєднатися як інший акаунт. Крок 10. Міні звіт. Завдання: опиши політику безпечного доступу до продакшн кластера у вигляді короткого документу.