请教一个 k8s 网络安全方面问题

背景是租用了一批第三方公司的服务器（可以认为不那么可信），现在想把它们以 k8s worker 节点的方式接入到我们已有集群中，k8s apiserver 还有部分节点位于我们自己数据中心服务器上，现在想提高一下防护避免被攻击，主要考虑以下几点：

1. 担心第三方公司服务器可能会有他们的人登录，我们在上面部署虚拟机，在虚拟机内部署 kubelet ，这样应该能最大程度避免他们接触到虚机内的 kubelet 以及容器？
2. 网络安全方面，为了避免第三方公司能查看到我们服务器 ip ，想搭建一个加密隧道，但不清楚业界目前常用搭建安全隧道工具有哪些，github 查到一个 gost ，不清楚可用性和安全性如何，以及怎么和 k8s 结合起来。另一方面，更安全点想实现只允许我们服务器到第三方服务器通信，从我们数据中心建 pod 调过去；反过来通信不行，但貌似 k8s 节点注册以及监听资源变化必须从 kubelet 向 apiserver 发起，没法反过来，不知道还是否有办法可行。也就是限制单向通信还能保证 k8s 整个调度流程正常。

这方面看到 kubeedge 等边缘计算框架云边通信单独有 cloudcore 、edgecore 组件，似乎有加密隧道功能，想拿来直接用，不确定可行性怎么样、是否还有其它办法？