保证Kubernetes生产环境安全七条建议
2023-03-07 09:49:00 时间
限制网络暴露
Kubernetes 重要组件的网络暴露必须限制:其中 Kubelet API、Kubernetes Dashboard、ETCD 上述组件不要暴露到公网,内部暴露也尽量限制范围。API server 如果非要对外暴露一定是提供HTTPS证书认证的方式。
使用 RBAC
安全领域的坚守的准则之一:最小化权限开放。通过RBAC 开放最小化权限。因为在k8s中serviceaccount 会自动注入到 pod 中的,给予不必要的权限非常危险,尤其操作 Pod 的权限。
Secret
Secret 管理程序,商业的有如 Hashicorp Vault,开源的有 Sealed Secrets、Kamus 、Helm Secerts Plugin。原生sercet的base64 实在是太弱了。
Network Policy
Network Policy 作为在 Kubernetes 集群范围内控制应用网络访问范围的有效手段。但这个设置需要谨慎,否则很容易导致生产故障。
Security Context
Kubernetes 的 Security Context 定义 Pod 或 Container 的特权与访问控制设置。包括非root运行,开放各种capabilities等。比如,下面通过NET_ADMIN 开启容器配置网络的权限。
- apiVersion: v1
- kind: Pod
- metadata:
- name: security-context-demo-4
- spec:
- containers:
- - name: sec-ctx-4
- image: busybox
- securityContext:
- capabilities:
- add: ["NET_ADMIN"]
seccomp
过滤危险的系统调用。
安全容器
部分高危的应用可用采用kata等安全容器部署,减少容器逃逸带来的风险。
相关文章
- 在 Go 里用 CGO?这 7 个问题你要关注!
- 9款优秀的去中心化通讯软件 Matrix 的客户端
- 求职数据分析,项目经验该怎么写
- 在OKR中,我看到了数据驱动业务的未来
- 火山引擎云原生大数据在金融行业的实践
- OpenHarmony富设备移植指南(二)—从postmarketOS获取移植资源
- 《数据成熟度指数》报告:64%的企业领袖认为大多数员工“不懂数据”
- OpenHarmony 小型系统兼容性测试指南
- 肯睿中国(Cloudera):2023年企业数字战略三大趋势预测
- 适用于 Linux 的十大命令行游戏
- GNOME 截图工具的新旧截图方式
- System76 即将推出的 COSMIC 桌面正在酝酿大变化
- 2GB 内存 8GB 存储即可流畅运行,Windows 11 极致精简版系统 Tiny11 发布
- 迎接 ecode:一个即将推出的具有全新图形用户界面框架的现代、轻量级代码编辑器
- loongarch架构介绍(三)—地址翻译
- Go 语言怎么解决编译器错误“err is shadowed during return”?
- 敏捷:可能被开发人员遗忘的部分
- Denodo预测2023年数据管理和分析的未来
- 利用数据推动可持续发展
- 在 Vue3 中实现 React 原生 Hooks(useState、useEffect),深入理解 React Hooks 的