通过VPN或GKE上的其他方式限制对Kubernetes UI的访问

GKE目前公开Kubernetes UI，默认情况下仅受basic auth保护

是否有更好的方法来确保对UI的访问？在我看来，这应该在一个安全的VPN后面访问，以防止各种类型的攻击。如果有人能够访问Kubernetes UI，他们可能会对集群造成很大的损害

GKE目前公开Kubernetes UI，默认情况下仅受basic auth保护

UI在Kubernetes集群中作为一个Pod运行，并连接了一个服务，以便可以从集群内部访问它。如果您想远程访问它，可以使用apiserver中运行的服务代理，这意味着您将通过apiserver进行身份验证以访问UI

apiserver接受三种形式的客户端身份验证：基本身份验证、承载令牌和客户端证书。基本身份验证密码应具有高熵，并且仅通过SSL传输。它提供了通过浏览器更简单的访问，因为OAuthTebug集成还不存在（虽然您应该只在SSL连接上传递您的凭据，如果您已经在Web浏览器中验证了服务器证书，这样您的证书就不会被中间人攻击中的人窃取）。 是否有更好的方法来确保对UI的访问

没有办法告诉GKE禁用主服务器中的服务代理，但是如果攻击者拥有凭据，那么他们可以使用API访问您的集群，并造成与访问UI相同的伤害。因此，我不确定您为什么特别关心通过服务代理保护UI，而不是保护apiserver的API端点

在我看来，这应该在一个安全的VPN后面访问，以防止各种类型的攻击

您特别关注哪种类型的攻击