安全
确保云原生工作负载安全的一组概念。
Kubernetes 文档的这一部分内容的旨在引导你学习如何更安全地运行工作负载, 以及维护 Kubernetes 集群的基本安全性。
Kubernetes 基于云原生架构,并借鉴了 CNCF 有关云原生信息安全良好实践的建议。
请阅读云原生安全和 Kubernetes, 了解有关如何保护集群及其上运行的应用程序的更广泛背景信息。
Kubernetes 安全机制
Kubernetes 包含多个 API 和安全组件, 以及定义策略的方法,这些策略可以作为你的信息安全管理的一部分。
控制平面保护
任何 Kubernetes 集群的一个关键安全机制是控制对 Kubernetes API 的访问。
Kubernetes 希望你配置并使用 TLS, 以便在控制平面内以及控制平面与其客户端之间提供传输中的数据加密。 你还可以为 Kubernetes 控制平面中存储的数据启用静态加密; 这与对你自己的工作负载数据使用静态加密不同,后者可能也是一个好主意。
Secret
Secret API 为需要保密的配置值提供基本保护。
工具负载保护
实施 Pod 安全标准以确保 Pod 及其容器得到适当隔离。如果需要,你还可以使用 RuntimeClass 来配置自定义隔离。
网络策略(NetworkPolicy) 可让控制 Pod 之间或 Pod 与集群外部网络之间的网络流量。
审计
Kubernetes 审计日志记录提供了一组与安全相关、 按时间顺序排列的记录,记录了集群中的操作序列。 集群审计用户、使用 Kubernetes API 的应用程序以及控制平面本身生成的活动。
云提供商安全
说明: Items on this page refer to vendors external to Kubernetes. The Kubernetes project authors aren’t responsible for those third-party products or projects. To add a vendor, product or project to this list, read the content guide before submitting a change. More information.
如果你在自己的硬件或不同的云平台上运行 Kubernetes 集群,请参阅对应云平台的文档以了解安全最佳实践。 以下是一些流行云提供商的安全文档的链接:
策略
你可以使用 Kubernetes 原生机制定义安全策略,例如 NetworkPolicy(对网络数据包过滤的声明式控制) 或 [ValidatingAdmisisonPolicy](/zh-cn/docs/reference/access -authn-authz/validating-admission-policy/) (对某人可以使用 Kubernetes API 进行哪些更改的声明性限制)。
你还可以依赖 Kubernetes 周边更广泛的生态系统的策略实现。 Kubernetes 提供了扩展机制,让这些生态系统项目在源代码审查、 容器镜像审批、API 访问控制、网络等方面实施自己的策略控制。
有关策略机制和 Kubernetes 的更多信息,请阅读策略。
接下来
了解相关的 Kubernetes 安全主题:
- 保护集群
- Kubernetes 中的已知漏洞(以及更多信息的链接)
- 传输中的数据加密(针对控制平面)
- 静态数据加密
- 控制对 Kubernetes API 的访问
- Pod 的 网络策略
- Kubernetes 中的 Secret
- Pod 安全标准
- 运行时类
了解上下文:
获取认证:
- Kubernetes 安全专家认证和官方培训课程。
阅读本节的更多内容: