Public Cluster và Private Cluster
Dưới đây là các khái niệm hiện tại đang được VKS cung cấp cho bạn:
1. Public Cluster
Khi bạn tạo một Public Cluster với Public Node Group, hệ thống VKS sẽ:
Tạo VM với Floating IP (tức là Public IP). Lúc này các VM (Node) này có thể trực tiếp tham gia vào cụm K8S thông qua Public IP này. Bằng cách sử dụng Public Cluster và Public Node Group, bạn có thể dễ dàng tạo các cụm Kubernetes và expose các dịch vụ mà không cần sử dụng Load Balancer. Điều này sẽ góp phần tiết kiệm chi phí cho cụm của bạn.
Khi bạn tạo một Public Cluster với Private Node Group, hệ thống VKS sẽ:
Tạo VM không có Floating IP (tức là không có Public IP). Lúc này các VM (Node) này không thể tham gia trực tiếp vào cụm K8S. Để các VM này có thể tham gia vào cụm K8S, bạn cần sử dụng NAT Gateway (NATGW). NATGW đóng vai trò như một trạm trung chuyển, cho phép các VM kết nối tới cụm K8S mà không cần Public IP. Với VNG Cloud, chúng tôi khuyến nghị bạn sử dụng Pfsense hoặc Palo Alto làm NATGW cho Cluster của bạn. Pfsense sẽ giúp bạn quản lý lưu lượng mạng đến và đi (inbound và outbound traffic) một cách hiệu quả, đảm bảo an ninh mạng và quản lý truy cập. Ngoài ra, việc sử dụng Private Node Group sẽ giúp bạn kiểm soát các ứng dụng trong cụm an toàn hơn, cụ thể bạn có thể giới hạn quyền truy cập control plane thông qua tính năng Whitelist IP.
2. Private Cluster
Khi bạn tạo một Private Cluster với Public/Private Node Group, hệ thống VKS sẽ:
Để tăng cường bảo mật cho cụm của bạn, chúng tôi đã giới thiệu mô hình private cluster. Tính năng Private Cluster giúp cho cụm K8S của bạn an toàn nhất có thể, tất cả các kết nối đều hoàn toàn riêng tư từ kết nối giữa các node tới control plane, kết nối từ client tới control plane, hay kết nối từ các node tới các sản phẩm. Các dịch vụ khác trong VNG Cloud như: vStorage, vCR, vMonitor, VNG Cloud APIs,... Private Cluster là lựa chọn lý tưởng cho các dịch vụ yêu cầu kiểm soát truy cập nghiêm ngặt, đảm bảo tuân thủ các quy định về bảo mật và quyền riêng tư dữ liệu.
3. So sánh giữa việc sử dụng Public Cluster và Private Cluster
Dưới đây là bảng so sánh giữa việc tạo và sử dụng Public Cluster và Private Cluster trên hệ thống VKS:
Tiêu chí
Public Cluster
Private Cluster
Kết nối
Sử dụng địa chỉ IP Public để giao tiếp giữa các node và control plane, giữa client và control plane, giữa các node và các dịch vụ khác trong VNG Cloud.
Sử dụng địa chỉ IP Private để giao tiếp giữa các node và control plane, giữa client và control plane, giữa các node và các dịch vụ khác trong VNG Cloud.
Bảo mật
Bảo mật ở mức trung bình vì các kết nối sử dụng IP Public.
Bảo mật cao hơn với tất cả các kết nối đều riêng tư và truy cập bị hạn chế.
Quản lý truy cập
Khó kiểm soát hơn, có thể quản lý truy cập thông qua tính năng Whitelist
Kiểm soát truy cập nghiêm ngặt, tất cả các kết nối đều nằm trong mạng riêng của VNG Cloud, qua đó giảm thiểu rủi ro bị tấn công từ mạng bên ngoài.
Khả năng mở rộng (AutoScaling)
Dễ dàng mở rộng thông qua tính năng Auto Scaling.
Dễ dàng mở rộng thông qua tính năng Auto Scaling.
AutoHealing
Tự động phát hiện lỗi và khởi động lại node (Auto Healing)
Tự động phát hiện lỗi và khởi động lại node (Auto Healing)
Khả năng truy cập từ bên ngoài
Dễ dàng truy cập từ bất kỳ đâu có internet.
Truy cập từ bên ngoài phải thông qua các giải pháp bảo mật khác.
Cấu hình và triển khai
Đơn giản hơn vì không cần thiết lập mạng nội bộ.
Phức tạp hơn, yêu cầu cấu hình mạng riêng tư và bảo mật.
Chi phí
Thường thấp hơn vì không cần thiết lập cơ sở hạ tầng bảo mật phức tạp.
Chi phí cao hơn do yêu cầu thêm các thành phần bảo mật và quản lý. Cụ thể, khi sử dụng private cluster, bạn cần trả phí cho 4 private service endpoint được tạo tự động để kết nối tới các dịch vụ trên VNG Cloud.
Tính linh hoạt
Cao, dễ dàng thay đổi và truy cập các dịch vụ.
Linh hoạt hơn trong các ứng dụng yêu cầu bảo mật, nhưng ít linh hoạt hơn cho các ứng dụng cần truy cập từ bên ngoài.
Do đó:
Public Cluster: Phù hợp cho các ứng dụng không yêu cầu bảo mật cao và cần sự linh hoạt, truy cập từ nhiều vị trí. Dễ triển khai và quản lý nhưng có rủi ro bảo mật cao hơn.
Private Cluster: Phù hợp cho các ứng dụng yêu cầu bảo mật cao, tuân thủ nghiêm ngặt các quy định về bảo mật và quyền riêng tư. Cung cấp kết nối ổn định và an toàn, nhưng yêu cầu cấu hình và quản lý phức tạp hơn, cũng như chi phí cao hơn.
Last updated