- 综合排序
- 最热优先
- 最新优先
- 来自专栏Kubernetes
【K8s】Kubernetes 安全机制之 RBAC
如果您有其他想要了解的,欢迎私信联系我~ 基本介绍 在 Kubernetes 中,RBAC(Role-Based Access Control,基于角色的访问控制)是一种权限管理机制,用于控制用户、系统进程或系统组件对 Kubernetes 资源的访问权限。 ,这样用户就可以在整个集群范围内进行操作 动态策略管理:RBAC 允许通过 Kubernetes API 动态地创建、更新和删除角色和角色绑定,使得权限管理更加灵活 审计和合规:RBAC 可以与 Kubernetes :通过精细的权限控制,RBAC 有助于提高集群的安全性,防止未授权访问和潜在的安全威胁 RBAC 的核心思想是通过「角色」控制资源的操作权限,应用场景如下: 权限最小化 细粒度权限控制 集群安全合规 使用 kubeadm 安装的集群默认开启了 RBAC,对应配置位于 Master 节点上静态 Pod 的资源清单中: /etc/kubernetes/manifests/kube-apiserver.yaml
69810编辑于 2024-10-08 - 来自专栏Kubernetes
【K8s】Kubernetes 安全机制之 Security Context
如果您有其他想要了解的,欢迎私信联系我~ 基本介绍 在 Kubernetes 中,Security Context(安全上下文)是一种重要的安全机制。 Security Context 通过定义 Pod 或 Pod 内容器的权限来控制容器的运行方式,从而限制不必要的访问、增强容器的安全性。 runAsNonRoot:用于控制容器是否以非 root 用户身份运行 runAsUser:用于定义运行容器进程入口点的 UID seLinuxOptions:用于定义容器的 SELinux 上下文,为对象分配安全标签 /security-context/ API文档:https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.31/#securitycontext-v1 希望这本书可以帮助到更多对 Kubernetes 感兴趣或刚开始学习的读者。
81910编辑于 2024-10-18 - 来自专栏Kubernetes GO
Kubernetes 安全警告
Kubernetes 近期爆出两个中级安全漏洞: CVE-2020-8551 CVE-2020-8552 以下为Kubernetes 安全漏洞的说明。 ? Kubernetes上述漏洞在CVSS评级为中等级别,安全风险为DoS攻击。 “未来五年,是kubernetes的黄金五年。” 在这个黄金五年,CNCF组织依托kubernetes等开源项目推进现代云原生的发展,构建现代软件开发技术栈。 ? CVE-2020-8552 说明 攻击者方通过授权的API请求对Kubernetes API Server服务进行拒绝服务攻击。 /kubernetes/issues/89377 [3] https://github.com/kubernetes/kubernetes/issues/89378
1.2K20发布于 2021-02-01 - 来自专栏章工运维
kubernetes安全框架
• K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都 支持插件方式,通过API Server配置来启用插件。 ", "OU": "System" } ] } EOF cfssl gencert -ca=/etc/kubernetes/pki/ca.crt -ca-key=/etc/kubernetes 授权文件 kubeconfig.sh kubectl config set-cluster kubernetes \ --certificate-authority=/etc/kubernetes/ kubernetes --kubeconfig=zpj.kubeconfig # 创建RBAC权限策略: rbac文件 kind: Role apiVersion: rbac.authorization.k8s.io ,calico,falnel 等等 访问流程:K8S-UI ——> token ——> apiserver ——> rbac 例如: 看下之前部署的kubernetes-dashboard 的serviceaccounts
50730编辑于 2023-07-21 - 来自专栏Zkeq
Kubernetes | 安全 - Safety
机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部 各个组件通信的中介,也是外部控制的入口。 所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计 的。 若无法正常加载, 请点击查看 PDF 网页版本: Kubernetes 集群安全 - 机制说明.pdf 2. 默认挂载目录: /run/secrets/kubernetes.io/serivceaccount 总结 若无法正常加载, 请点击查看 PDF 网页版本: Kubernetes 集群安全 - 认证 若无法正常加载, 请点击查看 PDF 网页版本: Kubernetes 集群安全 - 准入控制.pdf
59040编辑于 2023-05-14 - 来自专栏架构师成长之路
k8s实践(6)--Kubernetes安全:API Server访问控制
Kubernetes安全 安全永远是一个重大的话题,特别是云计算平台,更需要设计出一套完善的安全方案,以应对复杂的场景。 Kubernetes主要使用Docker作为应用承载环境,Kubernetes首先设计出一套API和敏感信息处理方案,当然也基于Docker提供容器安全控制。 正常情况下,为了确保Kubernetes集群的安全,API Server都会对客户端进行身份认证,认证失败则无法调用API。 , kubernetes.default, kubernetes.default.svc, kubernetes.default.svc.cluster.local, not k8s-master 说明 masterssl.cnf没有指定域名k8s-master Kubernetes 解决/var/run/secret/kubernetes.io/serviceaccount/token no such
2.9K20编辑于 2022-04-14 - 来自专栏Kubernetes
Kubernetes集群安全配置
这两天在梳理Kubernetes集群的安全配置,涉及到各个组件的配置,最终决定画一个图来展现,应该会更清晰。 /dd_ca.crt --tls-private-key-file=/var/run/kubernetes/dd_server.key ``` kube-controller-manager name: my-context current-context: my-context ``` kube-scheduler kube-scheduler访问apiserver的安全配置同 /serviceaccount/token /var/run/secrets/kubernetes.io/serviceaccount/ca.crt /var/run/secrets/kubernetes.io apiserver了: - 添加kubectl proxy container,示例见[kubectl-container](https://github.com/kubernetes/kubernetes
1.5K60发布于 2018-04-16 - 来自专栏CS实验室
Kubernetes 安全机制解读
Kubernetes 安全机制解读 在 k8s 中,所有资源的访问和变更都是围绕 APIServer 展开的。 比如说 kubectl 命令、客户端 HTTP RESTFUL 请求,都是去 call APIServer 的 API 进行的,本文就重点解读 k8s 为了集群安全,都做了些什么。 ? RBAC 所使用的 API Group 是 rbac.authorization.k8s.io/v1beta1,直到 Kubernetes v1.8 后,RBAC 模块达到稳定水平,所使用的 API Group 为 rbac.authorization.k8s.io/v1。 这一层安全检查的意义在于,检查该请求是否达到系统的门槛,即是否满足系统的默认设置,并添加默认参数。
1.1K40发布于 2021-03-22 - 来自专栏一只程序原
Kubernetes-安全认证
一、访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 二、认证管理 Kubernetes集群安全的最关键点在于如何识别并认证客户端身份,它提供了3种客户端身份认证方式: HTTP Base认证:通过用户名+密码的方式认证 这种认证方式是把“用户名 HTTPS证书认证:基于CA根证书签名的双向数字证书认证方式 这种认证方式是安全性最高的一种方式,但是同时也是操作起来最麻烦的一种方式。 实战:创建一个只能管理dev空间下Pods资源的账号 创建账号 # 1) 创建证书 [root@k8s-master01 pki]# cd /etc/kubernetes/pki/ [root@k8s-master01 /pki/devman.key [root@k8s-master01 pki]# kubectl config set-context devman@kubernetes --cluster=kubernetes
61010编辑于 2023-11-17 - 来自专栏CloudComputing
Kubernetes 1.19.0——安全管理
一旦装好了kubernetes,登录master之后就有了足够的权限 如果想在worker节点上运行并查看集群状态怎么办? /legacy-unknown kubernetes-admin Pending [root@vms61 xx]# kubectl get csr NAME AGE SIGNERNAME REQUESTOR CONDITION john 37s kubernetes.io/legacy-unknown kubernetes-admin /legacy-unknown kubernetes-admin Approved,Issued 一旦审批之后,k8s暂且还没有提供任何撤销这个功能 图片7.png [root@vms61 WWXwnbwFvLs8BRxEstx9jPGMz/xIDMlzxSTisnLuC8R/2ynXB0po15iUfbt9C0pl vSxrcf42zUf35SqV2w7Chudm8dZuFoRTNRVGuyYgda5OGvVsmKZBYVsykK1Lol3E
3.6K310发布于 2020-12-16 - 来自专栏小陈运维
CentOS8 搭建Kubernetes
配置:master:8核,4G node1:8核 2G node1:8核 2G 网络环境:IPv6、IPv4、VPN 网络环境有VPN下文部分资源使用了官方源 1.更新软件包 [root@localhost >[kubernetes]>name=Kubernetes>baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-x86_ /kubernetes/pkiclusterName:kubernetescontrollerManager:{}dns: type: CoreDNSetcd: local: dataDir: /kubernetes/pkiclusterName:kubernetescontrollerManager:{}dns: type: CoreDNSetcd: local: dataDir: ]Pulled k8s.gcr.io/pause:3.1[config/images]Pulled k8s.gcr.io/etcd:3.4.3-0[config/images]Pulled k8s.gcr.io
62720发布于 2021-10-13 - 来自专栏云原生技术社区
Kubernetes 安全最佳实践——K8s 程序的常见漏洞和暴露
而随着 Kubernetes 越来越受欢迎,我们需要更仔细地考虑如何评估其功效和管理容器安全问题。 为了更好地保护您的 Kubernetes 配置和程序,让我们看看一些常见的漏洞、暴露和 Kubernetes 安全最佳实践。 配置困境 如果你是 Kubernetes 世界的新手,并且你正在自己部署一个项目,那么你可能很难弄清楚安全配置规则。这是因为, Kubernetes 在这种情况下没有提供足够安全的默认配置规则。 本文译自:Kubernetes Security – Common Vulnerabilities and Exposures for K8s Programs[2]作者:Prajwal Kulkarni – Common Vulnerabilities and Exposures for K8s Programs: https://www.freecodecamp.org/news/kubernetes-security-common-vulnerabilities-and-exposures
2K30编辑于 2022-11-29 - 来自专栏绿盟科技研究通讯
好书推荐 — Kubernetes安全分析
一、简介 笔者最近在研究容器安全时读到一本关于讲述Kubernetes安全的书籍,作者为LizRice和Michael Hausenbla,两位分别来自美国容器安全厂商Aqua和云服务厂商AWS,并在容器安全研究领域上拥有丰富的软件开发 由上图可以看出,核心章节主要对Kubernetes认证、授权、容器镜像安全、容器运行时安全、密钥管理、编排工具自身安全这六部分进行了详细说明,最后一章针对Kubernetes生态中涉及的监控、告警、审计等安全部分也进行了相应介绍 本书基本涵盖了Kubernetes安全的各个方面,下面我们首先介绍Kubernetes攻击模型。 五、笔者的一些思考 笔者通过调研发现Kubernetes从发布正式版本至今一共曝出22个漏洞,其中中危漏洞 8个,低危漏洞14个,数据来源于: https://www.cvedetails.com/product 本书作者从安全的角度给读者系统的介绍了使用Kubernetes时可能存在的安全问题及如何进行防护,内容几乎覆盖了Kubernetes的方方面面,对于想了解Kubernetes安全的人而言,本书是非常好的一本入门书籍
2.8K30发布于 2020-06-04 - 来自专栏云原生实验室
Kubernetes 最佳安全实践指南
前言 对于大部分 Kubernetes 用户来说,安全是无关紧要的,或者说没那么紧要,就算考虑到了,也只是敷衍一下,草草了事。 实际上 Kubernetes 提供了非常多的选项可以大大提高应用的安全性,只要用好了这些选项,就可以将绝大部分的攻击抵挡在门外。 当然,本文所述的最佳安全实践仅限于 Pod 层面,也就是容器层面,于容器的生命周期相关,至于容器之外的安全配置(比如操作系统啦、k8s 组件啦),以后有机会再唠。 1. 通过使用 runtime/default 注释或将 Pod 或容器的安全上下文中的 seccomp 类型设置为 RuntimeDefault,可以轻松地在 Kubernetes 中应用默认值。 Linux Capabilities 入门教程:进阶实战篇 8. 只读 如果容器不需要对根文件系统进行写入操作,最好以只读方式加载容器的根文件系统,可以进一步限制攻击者的手脚。
1K30发布于 2020-12-14 - 来自专栏程序猿DD
Kubernetes 最佳安全实践指南
前言 对于大部分 Kubernetes 用户来说,安全是无关紧要的,或者说没那么紧要,就算考虑到了,也只是敷衍一下,草草了事。 实际上 Kubernetes 提供了非常多的选项可以大大提高应用的安全性,只要用好了这些选项,就可以将绝大部分的攻击抵挡在门外。 当然,本文所述的最佳安全实践仅限于 Pod 层面,也就是容器层面,于容器的生命周期相关,至于容器之外的安全配置(比如操作系统啦、k8s 组件啦),以后有机会再唠。 1. 通过使用 runtime/default 注释或将 Pod 或容器的安全上下文中的 seccomp 类型设置为 RuntimeDefault,可以轻松地在 Kubernetes 中应用默认值。 最后,请记住:你需要万分小心你的 YAML 文件内容缩进,如果你的 YAML 文件非常多,眼睛看不过来,希望下面的神器可以助你一臂之力: 扫码关注公众号 后台回复◉k8s◉获取史上最方便快捷的 Kubernetes
88020编辑于 2023-04-04 - 来自专栏让技术和时代并行
从 Kubernetes 安全到云原生应用安全
实施 DevSecOps的工程团队实践和自动化安全工具将更早发现安全风险,节省开发人员时间,加快发布周期,并交付更安全和合规的代码。 组织需要一种结构化的方法,让领导者参与进来、动员安全拥护者,并确保“安全”成为“完成的定义”不可或缺的一部分。 此外,通过确保工程、安全和运营之间的一致性,鼓励开发人员“提高技能”,并专注于学习和实施有助于提高 Web 应用程序安全性的技术,更重要的是,使团队能够更早地转移安全性进入设计和编码阶段。 OWASP Top 10 鼓励将安全性集成到 CI/CD 管道、参数化查询、验证所有输入、实施错误处理、改进日志记录策略、利用安全框架的优势、保护静态数据和加密、减少敏感数据暴露等准则,实施安全访问控制等 摆脱这种模式实际上代表了安全团队的重大转变,安全团队习惯于强迫开发人员遵守他们的流程和工具。
1K30编辑于 2023-03-18 【Kubernetes (k8s) 应用 】
互联网公司在 Kubernetes (k8s) 的应用 互联网公司广泛采用 Kubernetes 进行容器编排,以提高应用部署、扩展和管理的效率。 以下是互联网公司在 Kubernetes 上的典型应用场景和最佳实践。 微服务架构管理 Kubernetes 支持微服务架构的动态扩展和负载均衡。 集群联邦 (Kubefed):管理多个 Kubernetes 集群,统一部署策略和资源调度。 安全性最佳实践 互联网公司需确保 Kubernetes 集群的安全性,包括身份认证、网络策略和数据加密。 Kubernetes 已成为互联网公司云原生转型的核心技术,合理运用其功能可显著提升运维效率和业务敏捷性。
27210编辑于 2025-12-17- 来自专栏千里行走
kubernetes-8:kibana容器化
前置阅读: kubernetes-7:elasticsearch容器化 http://toutiao.com/item/6699441606832947723/ 提供helm和yaml两种部署方式。 Helm部署步骤详见笔者git地址: https://github.com/hepyu/k8s-app-config/tree/master/helm/min-cluster-allinone/kibana-min yaml部署步骤详见笔者git地址: https://github.com/hepyu/k8s-app-config/tree/master/yaml/min-cluster-allinone/kibana-min 因为这里涉及到了跨命名空间访问,所以需要带namespace的后缀; (3).yaml容器化方式 笔者github提供elasticsearch的yaml配置文件: https://github.com/hepyu/k8s-app-config 3.readinessProbe pod就绪判定标准, 很有必要;当es集群负荷过高时,kibana与es的联通会不通畅,需要K8S去识别是kibana pod是不是真的宕机了。 ?
1.4K20发布于 2019-07-03 - 来自专栏开源部署
K8S(kubernetes)概述
Kubernetes概述 一、什么是K8S(Kubernetes)? 1.k8s全称kubernetes,这个名字大家应该都不陌生,k8s是为容器服务而生的一个可移植容器的编排管理工具,越来越多的公司正在拥抱k8s,并且当前k8s已经主导了云业务流程,推动了微服务架构等热门技术的普及和落地 ,使得用户无需考虑容器IP问题 5.机密和配置管理 管理机密数据和应用程序配置,而不需要把敏感数据暴露在径向力,提高敏感数据安全性,并可以将一些常用的配置存储在k8s中,方便应用程序调用 6.存储编排 过程示意图 kubernetes各个组件及功能 1.master组件 kube-apiserver kubernetes api,集群的统一入口,各组件之间的协调者,以restful api提供接口服务 ,确保pod在统一命名空间 job:一次性任务 cronjob:定时任务 更高级层次对象:部署和管理pod service 防止pod失联 定义一组pod的访问策略 确保了每个pod的独立性和安全性
1.4K10编辑于 2022-08-08 - 来自专栏Lansonli技术博客
【云原生 | Kubernetes篇】Kubernetes(k8s)网络(十)
Kubernetes(k8s)网络Kubernetes 网络解决四方面的问题:一个 Pod 中的容器之间通过本地回路(loopback)通信。 集群网络在不同 pod 之间提供通信。 一、k8s网络架构图1、架构图2、访问流程二、网络连通原理1、Container To Containerip netns add ns1 #添加网络名称空间 ls /var/run/netns # 查看所有网络名词空间 ip netns #查看所有网络名词空间 # Linux 将所有的进程都分配到 root network namespace,以使得进程可以访问外部网络 # Kubernetes
740101编辑于 2022-06-13
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号