安全

Kubernetes 文件的這一部分旨在幫助你學習如何更安全地執行工作負載，並瞭解維護 Kubernetes 叢集安全的基本方面。

Kubernetes 基於雲原生架構，並借鑑了 CNCF 關於雲原生資訊安全良好實踐的建議。

閱讀 雲原生安全和 Kubernetes，瞭解如何保護你的叢集以及在其上執行的應用程式的更廣泛背景。

Kubernetes 安全機制

Kubernetes 包含多個 API 和安全控制，以及定義可作為資訊安全管理一部分的策略的方法。

控制平面保護

任何 Kubernetes 叢集的一個關鍵安全機制是控制對 Kubernetes API 的訪問。

Kubernetes 期望你配置和使用 TLS 來在控制平面內部以及控制平面與其客戶端之間提供傳輸中的資料加密。你還可以為 Kubernetes 控制平面中儲存的資料啟用靜態加密；這與為你自己的工作負載資料使用靜態加密是分開的，後者也可能是一個好主意。

Secret

Secret API 為需要保密性的配置值提供基本保護。

工作負載保護

強制執行Pod 安全標準，以確保 Pod 及其容器得到適當隔離。如果需要，你還可以使用RuntimeClasses 來定義自定義隔離。

網路策略允許你控制 Pod 之間或 Pod 與叢集外部網路之間的網路流量。

你可以部署更廣泛生態系統中的安全控制，以實現圍繞 Pod、其容器以及在其中執行的映象的預防性或檢測性控制。

准入控制

准入控制器是攔截 Kubernetes API 請求並可以根據請求中的特定欄位驗證或修改請求的外掛。精心設計這些控制器有助於避免隨著 Kubernetes API 在版本更新中發生變化而導致意外中斷。有關設計注意事項，請參閱准入 Webhook 最佳實踐。

審計

Kubernetes 審計日誌提供了一組與安全相關的、按時間順序排列的記錄，記錄了叢集中的操作序列。叢集會審計由使用者、使用 Kubernetes API 的應用程式以及控制平面本身生成的活動。

雲提供商安全

如果你在自己的硬體或其他雲提供商上執行 Kubernetes 叢集，請查閱你的文件以獲取安全最佳實踐。以下是一些熱門雲提供商安全文件的連結：

策略

你可以使用 Kubernetes 原生機制定義安全策略，例如 NetworkPolicy（對網路資料包過濾的宣告式控制）或 ValidatingAdmissionPolicy（對使用 Kubernetes API 進行更改的宣告式限制）。

但是，你也可以依賴 Kubernetes 周圍更廣泛生態系統中的策略實現。Kubernetes 提供擴充套件機制，讓這些生態系統專案在原始碼審查、容器映象批准、API 訪問控制、網路等方面實現自己的策略控制。

有關策略機制和 Kubernetes 的更多資訊，請閱讀策略。

下一步

瞭解相關的 Kubernetes 安全主題

• 保護你的叢集安全
• Kubernetes 中已知漏洞（及更多資訊連結）
• 控制平面的傳輸中資料加密
• 靜態資料加密
• 控制對 Kubernetes API 的訪問
• Pod 的網路策略
• Kubernetes 中的 Secret
• Pod 安全標準
• RuntimeClasses

瞭解背景

• 雲原生安全和 Kubernetes

獲得認證

• 認證 Kubernetes 安全專家認證和官方培訓課程。

本節中閱讀更多內容