这是我面临的情况。我在一家设计产品的公司工作,由于法律限制,某些数据需要驻留在特定地缘政治管辖区的物理机器上。例如,我们的一些数据必须驻留在“庸俗联邦”边界内的机器上。
我们正在使用 Kubernetes 来托管系统,并且可能会选择 GKE 或 AWS 作为云提供商。
我发明的一个解决方案创建了一个 pod 来托管特定于区域设置的 MongoDB 实例(例如,Vulgaria-MongoDB),然后将数据无缝存储在该区域设置的物理驱动器上。我的计划是使用 NFS 将存储从 Vulgarian 机器导出到我们的 Kubernetes 集群。
我面临的问题是我找不到实现此 NFS 导出的安全方法。我知道 NFSv4 支持 Kerberos,但我不认为 NFS 曾经打算用于开放网络,即使使用 Kerberos。另一种选择是在集群中创建一个 VPN 服务器并将远程计算机添加到 VPN。我也考虑过 SSHFS,但我认为对于这个特定的用例来说它太不稳定了。什么是完成此任务的有效且安全的方法?
最佳答案
如评论中所述,在远离存储的地方运行数据库很可能会导致各种怪异。现代数据库引擎允许一些存储延迟,但通常不会超过 10 秒。但如果必须,VPN 方法是正确的,某种 protected 网桥。我不知道我会信任 Internet 上的任何远程存储协议(protocol)。
关于ssl - 将远程文件系统安全地连接到 Kubernetes 集群,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58228103/