日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
保證Kubernetes生產(chǎn)環(huán)境安全七條建議

 限制網(wǎng)絡(luò)暴露

Kubernetes 重要組件的網(wǎng)絡(luò)暴露必須限制:其中 Kubelet API、Kubernetes Dashboard、ETCD 上述組件不要暴露到公網(wǎng),內(nèi)部暴露也盡量限制范圍。API server 如果非要對(duì)外暴露一定是提供HTTPS證書(shū)認(rèn)證的方式。

創(chuàng)新互聯(lián)專注于靈璧企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站建設(shè),購(gòu)物商城網(wǎng)站建設(shè)。靈璧網(wǎng)站建設(shè)公司,為靈璧等地區(qū)提供建站服務(wù)。全流程定制設(shè)計(jì),專業(yè)設(shè)計(jì),全程項(xiàng)目跟蹤,創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

使用 RBAC

安全領(lǐng)域的堅(jiān)守的準(zhǔn)則之一:最小化權(quán)限開(kāi)放。通過(guò)RBAC 開(kāi)放最小化權(quán)限。因?yàn)樵趉8s中serviceaccount 會(huì)自動(dòng)注入到 pod 中的,給予不必要的權(quán)限非常危險(xiǎn),尤其操作 Pod 的權(quán)限。

Secret

Secret 管理程序,商業(yè)的有如 Hashicorp Vault,開(kāi)源的有 Sealed Secrets、Kamus 、Helm Secerts Plugin。原生sercet的base64 實(shí)在是太弱了。

Network Policy

Network Policy 作為在 Kubernetes 集群范圍內(nèi)控制應(yīng)用網(wǎng)絡(luò)訪問(wèn)范圍的有效手段。但這個(gè)設(shè)置需要謹(jǐn)慎,否則很容易導(dǎo)致生產(chǎn)故障。

Security Context

Kubernetes 的 Security Context 定義 Pod 或 Container 的特權(quán)與訪問(wèn)控制設(shè)置。包括非root運(yùn)行,開(kāi)放各種capabilities等。比如,下面通過(guò)NET_ADMIN 開(kāi)啟容器配置網(wǎng)絡(luò)的權(quán)限。

 
 
    
  
  
  1. apiVersion: v1 
    2. 
  
  
  2. kind: Pod 
    3. 
  
  
  3. metadata: 
    4. 
  
  
  4.   name: security-context-demo-4 
    5. 
  
  
  5. spec: 
    6. 
  
  
  6.   containers: 
    7. 
  
  
  7.   - name: sec-ctx-4 
    8. 
  
  
  8.     image: busybox 
    9. 
  
  
  9.     securityContext: 
    10. 
  
  
  10.       capabilities: 
    11. 
  
  
  11.         add: ["NET_ADMIN"] 
    12.

seccomp

過(guò)濾危險(xiǎn)的系統(tǒng)調(diào)用。

安全容器

部分高危的應(yīng)用可用采用kata等安全容器部署,減少容器逃逸帶來(lái)的風(fēng)險(xiǎn)。


分享名稱:保證Kubernetes生產(chǎn)環(huán)境安全七條建議
網(wǎng)頁(yè)地址:http://www.dlmjj.cn/article/djcdcgp.html