Защищен ли kubectl port-forward?

Question

Я не смог найти никакой информации о том, где зашифровано создание соединения между модулем pod и locahost при выполнении команды "kubectl port-forward".

Похоже, что используется " socat"библиотека, которая поддерживает шифрование, но я не уверен, действительно ли kubernetes использует ее.

Answer 1

kubectl port-forward использует socat для создания зашифрованного туннеля TLS с возможностями переадресации портов.Туннель идет от вас к api-серверу kube к pod, так что на самом деле это может быть 2 туннеля с api-сервером kube, действующим как псевдо-маршрутизатор.

Примером, где я нашел это полезным, было то, что я делал быструю PoC трубопровода Jenkins, размещенного в Azure Kubernetes Service, и ранее в моих исследованиях в Kubernetes я не знал, как настроить Ingress,но я мог получить доступ к Серверу через незашифрованный порт 80, но я знал, что мой трафик может быть отслежен.Поэтому я просто сделал kubectl port-forward, чтобы временно войти в систему и безопасно отладить мой POC.Также очень полезно с RabbitMQ Cluster, размещенным в Kubernetes, вы можете зайти на веб-страницу управления с помощью kubectl port-forward и убедиться, что он кластеризован так, как вы этого хотели.

Answer 2

Насколько я знаю, когда вы перенаправляете выбранный порт на вашу машину, kubectl подключается к одному из мастеров вашего кластера, так что да, обычно связь зашифрована.То, как ваш мастер взаимодействует с модулем, зависит от того, как вы настроили внутреннюю связь.