add: Перенос контейнера Docker в k3s Защита кластера с помощью CrowdSec
This commit is contained in:
parent
8d5b6d1306
commit
88b7e81b84
@ -18,6 +18,8 @@
|
|||||||
* [Перенос контейнера Docker в k3s](kubernetes/k3s-migrating-container-from-docker-to-kubernetes.md) (на примере Gitea)
|
* [Перенос контейнера Docker в k3s](kubernetes/k3s-migrating-container-from-docker-to-kubernetes.md) (на примере Gitea)
|
||||||
* [Резервное копирование k3s](kubernetes/k3s-backup.md)
|
* [Резервное копирование k3s](kubernetes/k3s-backup.md)
|
||||||
* [Настройка доступа к панелям управления](kubernetes/k3s-setting-up-web-access-to-dashboard.md) Longhorn и Traefik
|
* [Настройка доступа к панелям управления](kubernetes/k3s-setting-up-web-access-to-dashboard.md) Longhorn и Traefik
|
||||||
|
* [Защита кластера с помощью CrowdSec](kubernetes/k3s-protection-with-crowdsec.md)
|
||||||
|
|
||||||
## Python
|
## Python
|
||||||
* [Устранение проблем при установке Python-коннектора mysqlclient (MySQL/MariaDB)](python/python-mysql.md)
|
* [Устранение проблем при установке Python-коннектора mysqlclient (MySQL/MariaDB)](python/python-mysql.md)
|
||||||
* [Python-скрипт как служба Linux](python/python_as_service.md)
|
* [Python-скрипт как служба Linux](python/python_as_service.md)
|
||||||
|
|||||||
18
kubernetes/k3s-protection-with-crowdsec.md
Normal file
18
kubernetes/k3s-protection-with-crowdsec.md
Normal file
@ -0,0 +1,18 @@
|
|||||||
|
# Защита кластера с помощью CrowdSec
|
||||||
|
|
||||||
|
Вы наверняка использовали (или как минимум слышали) о Fail2Ban. Он очень широко распространён для защиты SSH на хостах,
|
||||||
|
противодействия сканированию сайтов, легких DDoS-атак и "фонового bot-трафика". Fail2Ban существует с 2004 года
|
||||||
|
и давно стал стандартом для защиты серверов. Но он слабо подходит для защиты кластеров Kubernetes, так поды
|
||||||
|
обслуживающие внешний трафик (Ingress-контроллеры Traefik в случае k3s) могут находиться на разных узлах кластера.
|
||||||
|
Если Fail2Ban заблокирует IP-адрес на одной ноде, то он не сможет защитить другие узлы кластера, так как они ничего
|
||||||
|
не узнают о блокировках.
|
||||||
|
|
||||||
|
Для защиты распределённых систем (в том числе кластеров Kubernetes) набирает популярность CrowdSec. Это проект
|
||||||
|
с открытым исходным кодом, который, кроме обмена информацией об атаках между узлами (за периметром), использует
|
||||||
|
и внешний краудсорсинг (Community Blocklist) для защиты от атак. Он собирает данные о блокировках и позволяет
|
||||||
|
обмениваться этой информацией между всеми участниками сети (это отключаемая опция, и по умолчанию она отключена).
|
||||||
|
Таким образом, CrowdSec может не только защитить все узлы кластера (благодаря обмену информацией за периметром),
|
||||||
|
о блокировать IP-адреса, еще до их атаки на ваш сервер (если данные IP уже заблокированы другими участниками CrowdSec).
|
||||||
|
А еще CrowdSec модульный, поддерживает сценарии (http-cms-scanning, sshd-bf и тому-подобное),в 60 раз быстрее
|
||||||
|
Fail2Ban (он написан на Golang), работает с IPv6 и имеет интеграции с Traefik, Cloudflare, Nginx, k3s, Docker и другими
|
||||||
|
инструментами. CrowdSec активно растёт в нише DevOps, облаков, контейнеров и кластеров Kubernetes.
|
||||||
Loading…
x
Reference in New Issue
Block a user