حمله‌ی محروم‌سازی از خدمت (Distributed Denial of Service) یا به اختصار DDoS با ارسال حجم بالایی از درخواست‌های مخرب از منابع مختلف، یک سرور یا شبکه را اشباع کرده و باعث اختلال یا توقف دسترسی کاربران واقعی به سرویس می‌شود. در این مستند به چند راهکار برای امن‌سازی زیرساخت کوبرنتیز در برابر این حمله می‌پردازیم. توجه کنید که امکان Private API Server کوبرنتیز ستون، یکی از مهم‌ترین راهکارهای جلوگیری از این حمله است اما اقدامات بیشتری نیز برای امنیت کلاستر کوبرنتیز، مورد نیاز است.

توصیه می‌شود حتما سرویس‌های کوبرنتیز را از طریق CDN ستون در دسترس کاربران قرار دهید تا از امکانات امنیتی CDN مثل دیواره‌ی آتش برای مقابله با حملات DDoS بهرمند شوید. برای این کار نیاز است در Ingress های کلاستر کوبرنتیز، فقط سرورهای لبه‌ی CDN را White-list نمایید. مثلا در ingress-nginx با انوتیشن nginx.ingress.kubernetes.io/whitelist-source-range این کار انجام می‌شود. همچنین در مورد امن‌سازی CDN در برابر حملات مختلف می‌توانید به مستند CDN Firewall ستون مراجعه کنید.

می‌دانیم بعضی از حملات DoS در لایه‌های پایین‌تر مانند TCP و IP انجام می‌شود. پلاگین نتورک کوبرنتیز ستون (Calico) می‌تواند از طریق تنظیم قوانین iptables روی ماشین‌های Worker، در لایه‌ی Network و Transport از ورود ترافیک غیر امن، جلوگیری کند. توجه کنید که در کد نمونه‌ی زیر حتما باید PodCIDR و ServiceCIDR و آی پی‌های Subnet کلاستر و هر IP دیگری که ترافیک مجاز به کلاستر دارد مثل IPهای سرورهای لبه‌ی CDN، مجاز شود. توجه کنید که podSelector مثال زیر، همه‌ی پادهای Namespace مورد نظر را شامل می‌شود. برای اطلاع بیشتر می‌توانید به مستند NetworkPolicy کوبرنتیز مراجعه نمایید.

در Ingressهای دیگر مانند Apache APISIX نیز این امکان وجود دارد، مثلا برای تنظیم IPهای لبه در این ابزار، می‌توانید مشابه زیر عمل کنید.