Kubernetes 文档的这一部分内容的旨在引导你学习如何更安全地运行工作负载,以及维护 Kubernetes 集群的基本安全性。
Kubernetes 基于云原生架构,并借鉴了CNCF 有关云原生信息安全良好实践的建议。
请阅读云原生安全和 Kubernetes,了解有关如何保护集群及其上运行的应用程序的更广泛背景信息。
Kubernetes 包含多个 API 和安全组件,以及定义策略的方法,这些策略可以作为你的信息安全管理的一部分。
任何 Kubernetes 集群的一个关键安全机制是控制对 Kubernetes API 的访问。
Kubernetes 希望你配置并使用 TLS,以便在控制平面内以及控制平面与其客户端之间提供传输中的数据加密。你还可以为 Kubernetes 控制平面中存储的数据启用静态加密;这与对你自己的工作负载数据使用静态加密不同,后者可能也是一个好主意。
Secret API为需要保密的配置值提供基本保护。
实施 Pod 安全标准以确保Pod 及其容器得到适当隔离。如果需要,你还可以使用RuntimeClass 来配置自定义隔离。
网络策略(NetworkPolicy) 可让控制 Pod 之间或 Pod 与集群外部网络之间的网络流量。
准入控制器是拦截Kubernetes API 请求的插件,可以根据请求中的特定字段验证或修改请求。精心设计这些控制器有助于避免 Kubernetes API 在版本更新过程中发生意外干扰。有关设计注意事项,请参阅Admission Webhook 良好实践。
Kubernetes 审计日志记录提供了一组与安全相关、按时间顺序排列的记录,记录了集群中的操作序列。集群审计用户、使用 Kubernetes API 的应用程序以及控制平面本身生成的活动。
如果你在自己的硬件或不同的云平台上运行 Kubernetes 集群,请参阅对应云平台的文档以了解安全最佳实践。以下是一些流行云提供商的安全文档的链接:
你可以使用 Kubernetes 原生机制定义安全策略,例如NetworkPolicy(对网络数据包过滤的声明式控制)或 ValidatingAdmissionPolicy (对某人可以使用 Kubernetes API 进行哪些更改的声明性限制)。
你还可以依赖 Kubernetes 周边更广泛的生态系统的策略实现。Kubernetes 提供了扩展机制,让这些生态系统项目在源代码审查、容器镜像审批、API 访问控制、网络等方面实施自己的策略控制。
有关策略机制和 Kubernetes 的更多信息,请阅读策略。
了解相关的 Kubernetes 安全主题:
了解上下文:
获取认证:
阅读本节的更多内容: