保護(hù)Kubernetes集群的三大要素

譯文
作者： 布加迪 2022-06-20 08:00:00

云計(jì)算

云原生 Kubernetes改變了我們構(gòu)建、部署和運(yùn)行應(yīng)用程序的方式，已成為運(yùn)行大規(guī)?；A(chǔ)設(shè)施的事實(shí)標(biāo)準(zhǔn)。

成都創(chuàng)新互聯(lián)成立與2013年，先為江陵等服務(wù)建站，江陵等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為江陵企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

隨著基于容器的技術(shù)迅速得到采用，組織日益關(guān)注Kubernetes集群的安全性。雖然云和企業(yè)發(fā)行版提供了可靠的安全功能，但它們需要根據(jù)組織的安全要求進(jìn)行調(diào)整。

本文將介紹保護(hù)Kubernetes集群需要考慮的三個(gè)基本方面：

• 基于角色的訪問控制（RBA）
• 開放策略代理（OPA）
• 網(wǎng)絡(luò)策略

基于角色的訪問控制

假設(shè)一家組織有三個(gè)應(yīng)用程序團(tuán)隊(duì)（藍(lán)隊(duì)、綠隊(duì)和紅隊(duì)）。由于這些團(tuán)隊(duì)開發(fā)不同的產(chǎn)品，應(yīng)該授予它們訪問Kubernetes集群的不同權(quán)限。比如說，綠隊(duì)和紅隊(duì)不應(yīng)查看、訪問或刪除藍(lán)隊(duì)部署的集群。

RBAC是一種控制用戶可以訪問哪些Kubernetes資源的方法。雖然RBAC在默認(rèn)情況下啟用，但必須加以配置才能使用它。

RBAC有五個(gè)關(guān)鍵要素：

• 主題——用戶和進(jìn)程
• 資源——應(yīng)限制訪問的對象
• 動(dòng)作——可以執(zhí)行的操作（常常名為動(dòng)作）集合
• 角色——將API資源與動(dòng)作連接起來的對象
• 角色綁定——將角色與主題連接起來的對象

不妨回到前面的那家組織，定義只有藍(lán)隊(duì)才能創(chuàng)建、刪除和列出Pod、部署（Deployment）和服務(wù)（Service）的策略。

我們先創(chuàng)建一個(gè)名為“role-blue”的角色對象，我們在其中定義可以對特定的Kubernetes資源執(zhí)行的操作。在這個(gè)特定情況下，角色允許對資源：Pod、部署和服務(wù)執(zhí)行“創(chuàng)建”、“刪除”和“列表”等操作。

接下來，我們創(chuàng)建一個(gè)名為“blue-rb”的角色綁定。這個(gè)角色綁定屬于“blue-ns”，它將上面創(chuàng)建的角色“role-blue”與名為“blue”的藍(lán)隊(duì)聯(lián)系起來。

一旦將這些資源運(yùn)用到集群，“blue”團(tuán)隊(duì)的用戶就能夠執(zhí)行“role-blue”中定義的操作。

開放策略代理

開放策略代理（OPA）是一種通用策略引擎，可以跨整個(gè)堆棧統(tǒng)一策略實(shí)施。它的高級聲明性語言提供了將策略指定為代碼的靈活性。您可以使用OPA在Kubernetes、CI/CD管道或API 網(wǎng)關(guān)中實(shí)施策略。不妨深入了解如何在Kubernetes中使用和實(shí)施它。

Kubernetes實(shí)施OPA的機(jī)制名為Gatekeeper。它被設(shè)計(jì)和部署成準(zhǔn)入控制器，負(fù)責(zé)攔截請求、處理請求，并返回允許或拒絕的響應(yīng)。

如果允許，對象會(huì)部署到集群上；否則，請求將被拒絕，并向用戶提供反饋。管理員可以定義策略，指示Kubernetes限制容器或命名空間可以消耗的內(nèi)存或CPU等資源，僅批準(zhǔn)基于來自特定注冊中心的鏡像的容器，限制NodePort服務(wù)創(chuàng)建，或執(zhí)行標(biāo)準(zhǔn)命名。

比如說，這是一個(gè)示例模板和約束策略，只有在命名空間中配置ResourceQuota后才允許創(chuàng)建Pod。

網(wǎng)絡(luò)策略

網(wǎng)絡(luò)策略與常規(guī)防火墻非常相似，不同之處在于它們以應(yīng)用程序?yàn)橹行?。您為?yīng)用程序定義網(wǎng)絡(luò)策略后，Kubernetes會(huì)自動(dòng)將這些規(guī)則運(yùn)用于關(guān)聯(lián)的容器，這是由于容器會(huì)在高度動(dòng)態(tài)的環(huán)境中不斷創(chuàng)建和終止。網(wǎng)絡(luò)策略控制進(jìn)出這些容器的流量。

默認(rèn)情況下，進(jìn)出Pod的網(wǎng)絡(luò)流量不受限制。一個(gè)好的開頭是設(shè)置拒絕所有流量的規(guī)則，然后只允許必要的流量。

默認(rèn)情況下，Kubernetes使用平面網(wǎng)絡(luò)結(jié)構(gòu)，允許任何Pod與集群中的其他Pod或服務(wù)進(jìn)行通信。在有多個(gè)應(yīng)用程序或多級應(yīng)用程序的集群中，縱深防御在保護(hù)通信層方面起到了關(guān)鍵作用。網(wǎng)絡(luò)策略使我們能夠做到這一點(diǎn)。

這是一個(gè)“app1-network-policy”，它在“blue”命名空間中為標(biāo)簽為“role=db”的Pod運(yùn)用以下規(guī)則：

• [Ingress] 允許通過端口6379的來自ipBlock 172.17.0.0/24的連接。
• [Ingress] 如果來自其他Pod的連接被標(biāo)記為“role=frontend”，并且如果屬于端口6379上帶有標(biāo)簽“project=myproject”的命名空間，允許這些連接。
• [Egress] Pod可以通過5978端口與IP范圍為10.0.0.0/24的其他Pod進(jìn)行通信。

原文標(biāo)題：??3 key elements to protect a Kubernetes cluster???，作者：Avinash Desireddy

名稱欄目：保護(hù)Kubernetes集群的三大要素
本文網(wǎng)址：http://m.5511xx.com/article/ccdhdie.html