安全、成本与销毁
这个项目默认是低成本测试路线,不应按生产环境直接长期暴露。跑通链路后,最重要的动作不是继续加功能,而是收紧权限、清理资源、保留安全的复盘记录。
不要提交或发布的内容
| 类型 | 示例 |
|---|---|
| Terraform 真实输入 | terraform.tfvars |
| Terraform 运行产物 | tfplan、.terraform/、terraform.tfstate |
| Kubernetes 访问材料 | kubeconfig、join token、certificate key |
| 云访问材料 | 云账号访问凭据、VPN 预共享密钥 |
| 自动生成输出 | Terraform output JSON、排障日志 |
这些内容即使只是测试环境,也可能暴露公网 IP、集群入口、节点地址或访问凭据。
成本控制
- 测试默认关闭云厂商托管 VPN Gateway。
- ECS/CVM 优先使用抢占式或竞价实例。
- 两云先使用
1 master + 1 worker验证基础链路。 - 验证完成后及时销毁或停机。
- 暂时保留环境时,收紧
admin_cidrs和 WireGuard UDP51820来源。
销毁入口
先清理测试命名空间:
make cleanup-test-k8s
再销毁云资源:
make destroy-aliyun
make destroy-tencent
收尾检查
- 云控制台确认没有遗留 ECS/CVM、LB、VPN Gateway 等计费资源。
- 本地确认没有把
generated/、terraform.tfvars、tfstate加入 Git。 - 文档站只保留安全示例、命令和排障方法,不发布真实输出。