保证Kubernetes生产环境安全七条建议

 限制网络暴露

Kubernetes 重要组件的网络暴露必须限制：其中 Kubelet API、Kubernetes Dashboard、ETCD 上述组件不要暴露到公网，内部暴露也尽量限制范围。API server 如果非要对外暴露一定是提供HTTPS证书认证的方式。

创新互联专注于灵璧企业网站建设,响应式网站建设,购物商城网站建设。灵璧网站建设公司,为灵璧等地区提供建站服务。全流程定制设计，专业设计，全程项目跟踪，创新互联专业和态度为您提供的服务

使用 RBAC

安全领域的坚守的准则之一：最小化权限开放。通过RBAC 开放最小化权限。因为在k8s中serviceaccount 会自动注入到 pod 中的，给予不必要的权限非常危险，尤其操作 Pod 的权限。

Secret

Secret 管理程序，商业的有如 Hashicorp Vault，开源的有 Sealed Secrets、Kamus 、Helm Secerts Plugin。原生sercet的base64 实在是太弱了。

Network Policy

Network Policy 作为在 Kubernetes 集群范围内控制应用网络访问范围的有效手段。但这个设置需要谨慎，否则很容易导致生产故障。

Security Context

Kubernetes 的 Security Context 定义 Pod 或 Container 的特权与访问控制设置。包括非root运行，开放各种capabilities等。比如，下面通过NET_ADMIN 开启容器配置网络的权限。

 
 

  
  
apiVersion: v1 
  
  
kind: Pod 
  
  
metadata: 
  
  
  name: security-context-demo-4 
  
  
spec: 
  
  
  containers: 
  
  
  - name: sec-ctx-4 
  
  
    image: busybox 
  
  
    securityContext: 
  
  
      capabilities: 
  
  
        add: ["NET_ADMIN"] 
 
 

seccomp

过滤危险的系统调用。

安全容器

部分高危的应用可用采用kata等安全容器部署，减少容器逃逸带来的风险。

网站名称：保证Kubernetes生产环境安全七条建议
标题路径：http://www.mswzjz.cn/qtweb/news1/219151.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 贝锐智能