Chúng tôi dùng EKS rồi nha, k8s full managed!– Nhưng cấu hình default, endpoint mở toang, cả thế giới vào chơi được!
Team mới dùng AWS EKS cứ tưởng mình đã lên “đỉnh cao công nghệ”, nhưng audit xong chỉ muốn khóc. Public endpoint mở rộng cửa, không RBAC, không namespace – EKS chẳng khác gì một con ngựa hoang, đẹp nhưng không ai cầm cương.
 |
| EKS của bạn khi cấu hình default và endpoint mở toang! |
Thực trạng: EKS như EC2 chạy Docker Swarm
Thực trạng:
- Public endpoint mở toang: Bất kỳ ai có kubeconfig cũng vào được cluster.
- Không RBAC: Dev, CI, monitoring đều dùng quyền admin, không phân vai trò.
- Namespace lộn xộn: Tất cả pod chạy trong default namespace, như một ổ hỗn độn.
Hệ quả:
- Bảo mật yếu: Hacker vào cluster, xóa pod, lấy dữ liệu dễ như ăn kẹo.
- Quản lý rối: Không tách biệt môi trường dev/staging/prod.
- Debug khó: Lỗi xảy ra, không biết pod nào thuộc team nào.
Giải pháp: Thuần hóa ngựa hoang
Để EKS “ngoan”:
- Bật private endpoint: Tắt public access, chỉ cho phép truy cập qua VPC.
- Cấu hình RBAC: Phân quyền rõ ràng cho dev, CI, monitoring (dùng Role và RoleBinding).
- Tách namespace: Tạo namespace cho từng team/môi trường (dev, staging, prod).
Ví dụ: Cấu hình private endpoint trong EKS:
apiVersion: eksctl.io/v1alpha5kind: ClusterConfigmetadata: name: my-clustervpc: clusterEndpoints: publicAccess: false privateAccess: true🎯 Tóm lại: EKS không tự động “hiện đại”. Bật private endpoint, cấu hình RBAC, và tách namespace để cluster không thành “bãi chiến trường”.
Đăng nhận xét