有可能在DMZ区域部署openshift或kubernetes吗？

是否可以在DMZ区域（限制区）部署openshift。我将面临哪些挑战？在DMZ区域网络中我必须做什么？

您可以在DMZ部署Kubernetes和openshift。 您还可以在Kubernetes和OpenShift前面添加DMZ。

Kubernetes和OpenShift网络模型是一个平面SDN模型。所有POD都从同一网络CIDR获取IP地址，并生活在同一逻辑网络中，而不管它们位于哪个节点上

我们有办法使用NetworkPolicy API控制SDN内的网络流量。OpenShift中的NetworkPolicys表示防火墙规则，NetworkPolicy API在定义这些规则时提供了很大的灵活性

使用NetworkPolicys可以创建区域，但在防火墙规则的定义中也可以更加精细。每个pod可以有单独的防火墙规则，这个概念也称为微分段（有关实现微分段的网络策略的更多详细信息，请参阅本文）

非军事区在某些方面是一个特区。这是唯一暴露于来自组织外部的入站流量的区域。它通常包含IDS（入侵检测系统）、WAFs（Web应用程序防火墙）、安全反向代理、静态Web内容服务器、防火墙和负载平衡器等软件。这些软件中的一些通常是作为设备安装的，可能不容易容器化，因此通常不会在OpenShift中托管

无论区域如何，特定区域内部的通信通常不受限制

这种体系结构的变体很常见，大型企业往往有几个专用网络。但受防火墙规则保护的特定用途网络的原则始终适用

一般来说，流量应该只在两个网络之间的一个方向上流动（如在渗透膜中），但为了支持特殊用例，通常需要对该规则进行例外

有用文章：

如果你跟随你的集群，它是非常安全的。但没有什么是100%安全的。因此，添加DMZ将有助于减少攻击向量

在保护外部进入方面，您可以将外部负载平衡器的访问限制为HTTPS，大多数人都会这样做，但请注意，HTTPS和您的应用程序本身也可能存在漏洞

对于pod和工作负载，您可以使用精心编制的配置文件和/或在pod安全上下文中添加正确的配置文件来提高安全性（以一定的性能代价）。您还可以使用或添加更多安全性，但许多人不这样做，因为它可能变得非常复杂

Docker还有其他替代方案，以便更轻松地对您的POD进行沙箱处理（在撰写本文时仍处于其生命周期的早期）：，以及

看看：

---

这里有一个类似的问题：。

您可以在DMZ中部署Kubernetes和OpenShift。 您还可以在Kubernetes和OpenShift前面添加DMZ。

Kubernetes和OpenShift网络模型是一个平面SDN模型。所有POD都从同一网络CIDR获取IP地址，并生活在同一逻辑网络中，而不管它们位于哪个节点上

我们有办法使用NetworkPolicy API控制SDN内的网络流量。OpenShift中的NetworkPolicys表示防火墙规则，NetworkPolicy API在定义这些规则时提供了很大的灵活性

使用NetworkPolicys可以创建区域，但在防火墙规则的定义中也可以更加精细。每个pod可以有单独的防火墙规则，这个概念也称为微分段（有关实现微分段的网络策略的更多详细信息，请参阅本文）

非军事区在某些方面是一个特区。这是唯一暴露于来自组织外部的入站流量的区域。它通常包含IDS（入侵检测系统）、WAFs（Web应用程序防火墙）、安全反向代理、静态Web内容服务器、防火墙和负载平衡器等软件。这些软件中的一些通常是作为设备安装的，可能不容易容器化，因此通常不会在OpenShift中托管

无论区域如何，特定区域内部的通信通常不受限制

这种体系结构的变体很常见，大型企业往往有几个专用网络。但受防火墙规则保护的特定用途网络的原则始终适用

一般来说，流量应该只在两个网络之间的一个方向上流动（如在渗透膜中），但为了支持特殊用例，通常需要对该规则进行例外

有用文章：

如果你跟随你的集群，它是非常安全的。但没有什么是100%安全的。因此，添加DMZ将有助于减少攻击向量

在保护外部进入方面，您可以将外部负载平衡器的访问限制为HTTPS，大多数人都会这样做，但请注意，HTTPS和您的应用程序本身也可能存在漏洞

对于pod和工作负载，您可以使用精心编制的配置文件和/或在pod安全上下文中添加正确的配置文件来提高安全性（以一定的性能代价）。您还可以使用或添加更多安全性，但许多人不这样做，因为它可能变得非常复杂

Docker还有其他替代方案，以便更轻松地对您的POD进行沙箱处理（在撰写本文时仍处于其生命周期的早期）：，以及

看看：

这里有一个类似的问题：