Я бы не стал это делать.
tl; dr
Я думаю, очевидно, что нельзя запускать мастер-узлы или узлы управления в DMZ, они не закалены Edge (на самом деле ни один из них не защищен).... да, да, есть некоторые изображения, созданные для защиты .. yada ... yada ... почему?) и имеют API-интерфейсы и трафик между участниками, что, несмотря на использование SSL, существуют способы и время и экспозиция ...ИТ Марта Стюарт во мне говорит: «IPSec VPN для участников кластера - это хорошо».Кроме того, если кто-то имеет членов кластера рабочих или доверенных лиц в демилитаризованной зоне, на самом деле, проблема в том же смысле.Кластеры Kubernetes (включая ICP) не являются пуленепробиваемыми ... или даже пуленепробиваемыми.Конечно, им нужен какой-то шлюз, если только он не в игрушке.Поместите свой шлюз, где он находится, в DMZ, он должен быть создан для работы там (DataPower XG 45 или XI52 - отличный пример IMO).Защитите участников кластера от прямого доступа любого вида, который не маршрутизируется через шлюз и т. Д. И т. Д.
HTH
https://kubernetes.io/blog/2016/08/security-best-practices-kubernetes-deployment/