Kubernetes CIS Benchmark 见kube-bench 1.安全策略 1.1 使用宿主节点的命名空间 命名空间分 网络命名空间 PID命名空间 IPC命名空间 Pod使用主机的网络命名空间 绑定宿主节点端口 使用宿主节点的PID和IPC命名空间 1.2 节点安全上下文配置 指定容器中运行进程的用户ID 组织容器以Root用户运行 使用特权模式运行容器,对宿主节点内核具有完全的访问权限 通过添加或禁用内核功能,配置细粒度内核访问权限 设置SELinux选项,加强对容器的限制 阻止…

Pod安全策略对于强化K8S集群安全至关重要.本文将延续之前的文章继续深入介绍Pod安全策略. 首先,简单介绍了如何将Pod与Pod安全策略相关联,并使用RBAC来展示具体步骤.然后介绍如何在Rancher中启用默认的PSP和创建自定义PSP.最后将使用一种工具来简化生产中Pod安全策略的使用,极大提升生产力,赶紧戳文咯~ 本文来自RancherLabs 在之前的文章中,我们演示了如何使用受限的PSP策略作为默认值在Rancher中启用PSP.我们还展示了如何防止特权Pod被接纳到集群中. 我们…

系列目录 什么是pod安全策略 pod安全策略是集群级别的用于控制pod安全相关选项的一种资源.PodSecurityPolicy定义了一系列pod相要进行在系统中必须满足的约束条件,以衣一些默认的约束值.它允许管理员控制以下方面内容 Control Aspect Field Names 以特权运行容器 privileged 使用宿主名称空间 hostPID, hostIPC 使用宿主网络和端口 hostNetwork, hostPorts 使用存储卷类型 volumes 使用宿主机文件系统 a…

来源:伪架构师作者:崔秀龙很多人分不清 SecurityContext 和 PodSecurityPolicy 这两个关键字的差别,其实很简单:•SecurityContext 是 Pod 中的一个字段,而 PSP 是一个独立的资源类型.•SecurityContext 是 Pod 自身对安全上下文的声明:而 PSP 则是强制实施的--不合规矩的 Pod 无法创建.PSP 的用法和 RBAC 是紧密相关的,换句话说,应用 PSP 的基础要求是:•不同运维人员的操作账号需要互相隔离并进行单独授权.…

默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响. PodSecurityPolicy 是 Kubernetes API 对象,你可以在不对 Kubernetes 进行任何修改的情况下创建它们,但是,默认情况下不会强制执行我们创建的一些策略,我们需要一个准入控制器.kube-controller-manager 配置以及 RBAC 权限…

一.Pod 在Kubernetes集群中,Pod是创建.部署和调度的基本单位.一个Pod代表着集群中运行的一个进程,它内部封装了一个或多个应用的容器.在同一个Pod内部,多个容器共享存储.网络IP,以及管理容器如何运行的策略选项.Docker是Kubernetes中最常用的容器运行时. 在Kubrenetes集群中,Pod有两种使用方式,如下所示: 一个Pod中运行一个容器 这种模式是最常见的用法,可以把Pod想象成是单个容器的封装,Kubernetes直接管理的是Pod,而不是Pod内部的容器…

Kubernetes的本地集群搭建是一件颇费苦心的活,网上有各种参考资源,由于版本和容器的不断发展,搭建的方式也是各不相同,这里基于Docker CE的18.09.0版本,在Mac OS.Win10下分别搭建了一次. 一.Mac OS下搭建 安装Docker CE并进行相关配置 从Docker官方站点下载并安装Docker for Mac或Docker for Windows 截止目前用的是18.09.0版本,这一步骤比较简单,略过. 在 Docker -> Preferences ... 中,…

本文介绍各种常见的网络问题以及排错方法,包括 Pod 访问异常.Service 访问异常以及网络安全策略异常等. 说到 Kubernetes 的网络,其实无非就是以下三种情况之一 Pod 访问容器外部网络 从容器外部访问 Pod 网络 Pod 之间相互访问 当然,以上每种情况还都分别包括本地访问和跨主机访问两种场景,并且一般情况下都是通过 Service 间接访问 Pod. 排查网络问题基本上也是从这几种情况出发,定位出具体的网络异常点,再进而寻找解决方法.网络异常可能的原因比较多,常见的有:…

volume k8s通过数据卷来提供pod数据的持久化,k8s的数据卷是对docker数据卷的扩展,k8s的数据卷是pod级别的,用来实现pod中容器的文件共享 volume是pod中能被多个容器访问的共享目录,k8s中的volume与pod生命周期相同,当容器终止或重启时,volume中的数据不会丢失. 示例 apiVersion: extensions/v1beta1 kind: Deployment metadata: name: frontend spec: replicas: 1 se…

Prometheus介绍 Prometheus是一个最初在SoundCloud上构建的开源监控系统 .它现在是一个独立的开源项目,为了强调这一点,并说明项目的治理结构,Prometheus 于2016年加入CNCF,作为继Kubernetes之后的第二个托管项目. 特点 具有由 metric 名称和键/值对标识的时间序列数据的多维数据模型 PromQL,有一个灵活的查询语言 不依赖分布式存储,只和本地磁盘有关 通过 HTTP 的服务拉取时间序列数据 也支持推送的方式来添加时间序列数据 通过服务发…

11月13~15日,KubeCon 上海大会召开,云原生是这个秋天最火热的技术.很多同学来问如何上手 Kubernetes和Istio 服务网格开发.本文将帮助你利用Docker CE桌面版,15分钟在笔记本上从零搭建 Kubernetes + Istio开发环境,开启云原生之旅. 说明:本文测试通过环境 Docker CE 18.09 (Kubernetes 1.10.3) 以及 Istio 1.0.4 先决条件,你需要一个 Docker for Mac或者Docker for Windows…

自研CNI IPAM插件 解决K8s功能问题 首先,在功能方面,Kubernetes 网络模型由于IP不固定,无法对IP资源进行精细管控,无法使用基于IP的监控和基于IP的安全策略,此外,一些IP发现的服务部署十分困难,给运维人员增加了很大的工作难度.例如由于IP不固定,令很多采用IP固定来做的传统监控和审计机制全部失效.此外,很多软件是对MAC地址进行授权,IP地址不固定无法购买授权,IP固定的需求在一定场景下客观存在. 为了解决这一问题,灵雀云把IP当做重要资源,进行单独管理.灵雀云自研的C…

目录 简介 配置 init container与应用容器的区别 简介 在很多应用场景中,应用在启动之前都需要进行如下初始化操作: 等待其他关联组件正确运行(例如数据库或某个后台服务) 基于环境变量或配置模板生成配置文件 从远程数据库获取本地所需配置,或者将自身注册到某个中央数据库中 下载相关依赖包,或者对系统进行一些预配置操作 kubernetes v1.3引入了一些alpha版本的新特性init container(在v1.5版本时被更新为beta版本),用于在启动应用容器之前 启动一个或多个…

系列目录 在linux系统里,sysctls 接口允许管理员在运行时修改内核参数.参数存在于/proc/sys/虚拟进程文件系统里.参数涉及到很多子模块,例如: 内核(kernel)(常见前缀kernel.) 网络(networking)(常见前缀net.) 虚拟内存(virtual memory) (常见前缀 vm.) MDADM(常见前缀dev.) 启用非安全sysctls sysctls分为安全和非安全的.除了合理地划分名称空间外一个安全的sysctl必须在同一个节点上的pod间是隔离的.…

本贴为目录贴,将不断更新 目录 1.Docker在centos下安装以及常见错误解决 2.使用kubernetes 官网工具kubeadm部署kubernetes(使用阿里云镜像) 3.无法访问gcr.io的几种解决办法 4.kubernetes安装过程中遇到问题及解决 5.docker&k8s填坑记 6.Kubernetes对象之Pod 7.kubernetes之pod中断 8.kubernetes之PDB 9.kubernetes对象之deployment 10.Deployment相对Re…

系列目录 使用docker创建只读文件系统 容器化部署对应用的运维带来了极大的方便,同时也带来一些新的安全问题需要考虑.比如黑客入侵到容器内,对容器内的系统级别或者应用级别文件进行修改,会造成难以估量的损失.(比如修改hosts文件导致dns解析异常,修改web资源导致网站被嵌入广告,后端逻辑被更改导致权限验证失效等,由于是分布式部署,哪些容器内的资源被修改也很难以发现).解决这个问题的办法就是创建创建一个具有只读文件系统的容器.下面介绍使用docker run命令和docker compose…

点击下载<不一样的 双11 技术:阿里巴巴经济体云原生实践> 本文节选自<不一样的 双11 技术:阿里巴巴经济体云原生实践>一书,点击上方图片即可下载! 作者 | 汤志敏,阿里云容器服务高级技术专家 在 2019 年 双11 中,容器服务 ACK 支撑了阿里巴巴内部核心系统容器化和阿里云的云产品本身,也将阿里巴巴多年的大规模容器技术以产品化的能力输出给众多围绕 双11 的生态公司.通过支撑来自全球各行各业的容器云,容器服务沉淀了支持单元化全球化架构和柔性架构的云原生应用托管中台能力…

新兴的多集群.多云部署成为首选的企业策略,而边缘部署则呈上升趋势 2019年11月5日,业界采用最广泛的Kubernetes管理平台创造者Rancher Labs(以下简称Rancher)发布了首份调研报告,该调研报告收集了来自大型或小型企业的1106名技术用户的意见,这些用户分别来自于科技.金融服务.电信.教育.政府和医疗等25个行业,主要来源于EMEA(欧洲.中东和非洲)和北美两大地区. "从调研结果可以清晰地看到,容器已经成为现代IT战略的关键支撑,85%的受访者已经在生产环境中使用容器.…

一.概览 Nacos 是阿里巴巴推出来的一个新开源项目,这是一个更易于构建云原生应用的动态服务发现.配置管理和服务管理平台. Nacos 致力于帮助您发现.配置和管理微服务.Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现.服务配置.服务元数据及流量管理. Nacos 帮助您更敏捷和容易地构建.交付和管理微服务平台. Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式.云原生范式) 的服务基础设施. 中文官网:https://nacos.io/zh-cn 什么是…

Kubernetes YAML 文件全字段详解 Deployment yaml 其中主要参数都在podTemplate 中,DaemonSet StatefulSet 中的pod部分一样. apiVersion: v1 kind: Deployment metadata: name: <deploy-name> namespace: <ns-name> labels: <key>: <value> spec: replicas: 2 selector: ma…