安全
Kubernetes 文档的这一部分旨在帮助您学习如何更安全地运行工作负载,以及有关保持 Kubernetes 集群安全的关键方面。
Kubernetes 基于云原生架构,并借鉴了 CNCF 关于云原生信息安全最佳实践的建议。
阅读 云原生安全和 Kubernetes,了解有关如何保护您的集群以及在其上运行的应用程序的更广泛背景。
Kubernetes 安全机制
Kubernetes 包括多个 API 和安全控制,以及定义 策略 的方法,这些策略可以构成您如何管理信息安全的一部分。
控制平面保护
任何 Kubernetes 集群的关键安全机制都是 控制对 Kubernetes API 的访问。
Kubernetes 期望您配置和使用 TLS 来提供控制平面内以及控制平面与其客户端之间的 传输中数据加密。您还可以为 Kubernetes 控制平面中存储的数据启用 静态加密;这与对您自己的工作负载数据使用静态加密是分开的,后者也可能是一个好主意。
密钥
Secret API 为需要保密的配置值提供基本保护。
工作负载保护
实施 Pod 安全标准,以确保 Pod 及其容器得到适当隔离。如果需要,您还可以使用 RuntimeClasses 来定义自定义隔离。
网络策略 允许您控制 Pod 之间或 Pod 与集群外部网络之间的网络流量。
您可以从更广泛的生态系统部署安全控制,以围绕 Pod、其容器以及其中运行的镜像实施预防性或检测性控制。
审计
Kubernetes 审计日志记录 提供了一组与安全相关的按时间顺序排列的记录,记录了集群中操作的顺序。集群会审计用户、使用 Kubernetes API 的应用程序以及控制平面本身生成的活动。
云提供商安全
如果您在自己的硬件或其他云提供商上运行 Kubernetes 集群,请查阅您的文档以了解安全最佳实践。以下是一些流行云提供商安全文档的链接
策略
您可以使用 Kubernetes 原生机制定义安全策略,例如 NetworkPolicy(对网络数据包过滤的声明性控制)或 ValidatingAdmissionPolicy(对可以使用 Kubernetes API 进行的更改的声明性限制)。
但是,您也可以依赖 Kubernetes 周围更广泛生态系统中的策略实现。Kubernetes 提供了扩展机制,让这些生态系统项目可以在源代码审查、容器镜像批准、API 访问控制、网络等方面实现自己的策略控制。
有关策略机制和 Kubernetes 的更多信息,请阅读 策略。
下一步
了解相关的 Kubernetes 安全主题
- 保护您的集群
- Kubernetes 中的 已知漏洞(以及指向更多信息的链接)
- 控制平面的 传输中数据加密
- 静态数据加密
- 控制对 Kubernetes API 的访问
- Pod 的 网络策略
- Kubernetes 中的 Secret
- Pod 安全标准
- RuntimeClasses
了解背景
获得认证
- 认证 Kubernetes 安全专家 认证和官方培训课程。
在本节中阅读更多内容
本页上的项目指的是提供 Kubernetes 所需功能的第三方产品或项目。Kubernetes 项目作者不对这些第三方产品或项目负责。有关更多详细信息,请参阅 CNCF 网站指南。
在提议添加额外第三方链接的更改之前,您应该阅读 内容指南。