Рекомендации по развертыванию шлюза API Ambassador для предотвращения DDoS-атак

Мне нужно настроить шлюз API Ambassador перед всеми моими службами. Амбассадор будет выполнять несколько действий, таких как ограничение скорости, ведение журнала, защита от DDoS и т. Д.

Особенно с точки зрения защиты от DDoS-атак, лучше ли размещать шлюз Ambassador API за пределами кластера Kubernetes основного приложения? ИЛИ разместить в отдельном пространстве имен и иметь ограничения по квоте?

Размещение шлюза API в одном кластере k8s может привести к перегрузке кластера из-за нежелательного трафика, но если я размещу шлюз API в отдельном приложении кластера k8s, кластер k8s может быть спасен от такого сценария.

Кроме того, можно ли развернуть шлюз Ambassador API в режиме, отличном от k8s, и в режиме высокой доступности?


kubernetes microservices security ddos ambassador
person Avik Aggarwal    schedule 17.03.2021    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Насколько я знаю, есть две вещи

Шлюз API Ambassador и стек Edge

Амбассадор имеет открытый исходный код, а Edge - платная версия.

Вы можете установить пограничный стек на виртуальную машину и Linux, но для шлюза API доступны только YAML и helm.

вы можете установить ограничение скорости для сохранения DDos.

Размещение шлюза API в одном кластере k8s может привести к перегрузке кластера из-за нежелательного трафика, но если я размещу шлюз API в отдельном приложении кластера k8s, кластер k8s может быть спасен от такого сценария.

в этом случае вы правы, но если вы используете K8s, вы можете использовать привязку узлов для исправления модулей шлюза API на определенных узлах или запускать его как набор демонов. Настройка сродства и анти-сродства может помочь разделить POD или приложение и шлюз API.

person Harsh Manvar    schedule 17.03.2021
comment
спасибо за указатель @Harsh. Я выберу версию ОС, поэтому искал передовой опыт. - person Avik Aggarwal; 17.03.2021