k8s安全

精选原创

luoguo 2021-09-13 17:55:58 博主文章分类：docker-k8s ©著作权

文章标签 k8s 安全 文章分类 运维

©著作权归作者所有：来自51CTO博客作者luoguo的原创作品，请联系作者获取转载授权，否则将追究法律责任

一.镜像来源

二.镜像bug更新

三.node禁止ssh登录,控制用kubectl exec

四.修改默认端口6443

五.api端口访问控制(通过防火墙限制对api的访问)

六.创建资源管理界限(限制用户可以操作的范围牵涉到用户的认证授权准备控制)

参考https://blog.51cto.com/luoguoling/3187063

七.定义资源限额，比如对命名空间得限额（防止ddos干扰）

apiVersion: v1
kind: ResourceQuota
metadata:
  name: compute-resources
spec:
  hard:
    pods: "10"
    requests.cpu: "1"
    requests.memory: 1Gi
    limits.cpu: "2"
    limits.memory: 2Gi
    #kubectl create -f compute-resources.yaml  -n fronted
    #注意如果命名空间达到限额了，pod将不会更新成功,需要先修改限额

八.划分网络安全区域(只允许前端pod访问后端pod的网络策略，通过matchlabels来限制对pod的访问)

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: access-nginx
spec:
  podSelector:
    matchLabels:
      run: nginx
  ingress:
  - from:
    - podSelector:
        matchLabels:
          access: "true"
#参考文档  https://www.cnblogs.com/tylerzhou/p/10995797.html

九.将安全环境应用到pods和容器中

当设计您的容器和pods时，确保为您的pods、容器和存储卷配置安全环境。安全环境是定义在yaml文件中的一项属性。它控制分配给pod/容器/存储卷的安全参数。一些重要的参数有： SecurityContext > runAsNonRoot 容器应该以非root用户运行 SecurityContext > Capabilities 控制分配给容器的Linux能力 SecurityContext > readOnlyRootFilesystem 控制容器对root文件系统是否只读 PodSecurityContext > runAsNonRoot 防止root用户作为pod的一部分运行容器 demo:

apiVersion: v1
kind: Pod
metadata:
  name: hello-world
spec:
  containers:
  # specification of the pod’s containers
  # ...
  securityContext:
    readOnlyRootFilesystem: true
    runAsNonRoot: true