【NetWork Policy网络访问策略】 默认情况下,Kubernetes 集群网络没任何网络限制,Pod 可以与任何其他Pod 通信,在某些场景下就需要进行网络控制,减少网络攻击面,提高安全性,这就会用到网络策略。需求:限制dev命名空间标签为env=dev的pod,只允许prod命名空间中的pod访问和其他所有命名空间app=client1标签pod访问。需求:test命名空间下所有pod可以互相访问,也可以访问其他命名空间Pod,但其他命名空间不能访问test命名空间Pod。示例中的策略选择带有 "role=db" 标签的 Pod。
【CIS基准测试工具:kube-beach】 • -s, --targets指定要基础测试的目标,这个目标需要匹配cfg/<version>中的文件名称,已有目标:master, controlplane, node, etcd, policies。•scored:如果为true,kube-bench无法正常测试,则会生成FAIL,如果为false,无法正常测试,则会生成WARN。• --benchmark:手动指定CIS基准版本,不能与--version一起使用。测试项目配置文件:/etc/kube-bench/cfg/cis-1.6/
关注
