k8s安全相关特性汇总

最新推荐文章于 2024-05-10 08:31:59 发布
最新推荐文章于 2024-05-10 08:31:59 发布
阅读量724 收藏 1
点赞数
分类专栏: k8s 文章标签: kubernetes 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22548549/article/details/128308642
版权

如何使用宿主节点的命名空间

apiVersion: v1
kind: Pod
metadata:
  name: pod-test
spec:
  hostNetwork: true # 共用宿主节点的网络命名空间
  hostIPC: true # 共用宿主节点的IPC空间
  hostPID: true # 共用宿主节点的PID命名空间
  containers:
  - name: main
    image: centos
    ports:
    - containerPort: 8000
      hostPort: 9000 # 可以通过所在节点的9000端口访问
      protocol: TCP

hostPort让pod在拥有自己的网络命名空间的同时,将端口绑定到宿主节点的端口上。hostPort和NodePort的区别在于:

  1. 使用hostPort的pod,到达宿主节点的端口的连接会被直接转发到节点所在的pod的端口;对于NodePort而言,会被转发到随机选取的pod上。
  2. 对于使用hostPort的pod,仅有运行了这类pod的节点会绑定对应的端口,而NodePort会在所有节点上绑定端口。

hostPort最初用于暴露通过DeamonSet部署在每个节点上的系统服务。

SecurityContext

SecurityContext可以配置与安全相关的特性,可以运用于整个pod,或pod中的容器。其可以配置以下一些事项。

  • 使用指定用户运行容器(runAsUser)
  • 阻止容器以root用户运行(runAsNonRoot)
  • 以特权模式运行。可以做它们宿主节点上能够做的任何事。
  • 为容器单独添加/禁用内核功能。
  • 阻止对容器根文件系统的写入。

示例如下

apiVersion: v1
kind: Pod
metadata:
  name: pod-test
spec:
  containers:
  - name: main
    image: centos
    securityContext:
      runAsUser: 405 # 指定用户ID
      runAsNonRoot: true # 只允许以非root用户运行
      privileged: true # pod将在特权模式下运行
      readOnlyRootFilesystem: true # 容器的根文件系统不允许写入
      capabilities:
        add: # 添加内核功能
        - SYS_TIME
        drop: # 禁用内核功能
        - CHOWN

pod级别特有的安全上下文包括fsGroup和supplementalGroups,示例如下

apiVersion: v1
kind: Pod
metadata:
  name: pod-test
spec:
  securityContext:
    fsGroup: 555
    supplementalGroups: [666, 777]

fsGroup指定了挂载的卷所属的用户组,supplementalGroups中的用户组会关联到运行容器的用户下,fsGroup指定的用户组也会关联到该用户下。

PodSecurityPolicy

PodSecurityPolicy是一种集群级别的资源,它定义了用户能否在pod中使用各种安全相关的特性。

当向API服务器发送pod资源时,PodSecurityPolicy准入控制插件会将这个pod与已经配置的PodSecurityPolicy进行校验。如果这个pod符合集群中已有安全策略,它会被接受并存入etcd;否则它会立即被拒绝。这个插件也会根据安全策略中配置的默认值对pod进行修改。

apiVersion: extensions/v1beta1
kind: PodSecurityPolicy
metadata: 
  name: default
spec:
  hostIPC: false
  hostPID: false
  hostNetwork: false
  hostPorts:
  - min: 1000
    max: 2000
  - min: 4000
    max: 5000
  privileged: false
  readOnlyRootFilesystem: true
  runAsUser:
    rule: MustRunAs
    ranges:
    - min: 2
      max:2
  fsGroup:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  allowedCapabilities:
  - SYS_TIME
  defaultAddCapabilities:
  - CHOWN
  requiredDropCapabilities:
  - SYS_ADMIN
  - SYS_MODULE
  volumes:
  - emptyDir
  - configMap
  - secret
  • runAsUser的MustRunAs规则。当pod中没有指定runAsUser,即使在Dockerfile中指定了user,PodSecurityPolicy也会重写runAsUser。runAsUser可以使用另外一种规则,mustRunAsNonRoot,该规则将阻止用户部署以root运行的容器.
  • allowedCapabilities:允许添加哪些内核功能,不在此配置中的功能将不被允许添加到容器中
  • defaultAddCapabilities: 会被自动添加到每个容器中
  • requiredDropCapabilities: 会在容器的securityContext.capabilities.drop字段中加入这些功能。

对不同的用户与组分配不同的PodSecurityPolicy

这是通过RBAC机制实现的。首先创建需要的PodSecurityPolict资源,然后创建ClusterRole资源并通过PodSecurityPolict名称引用不同的策略,通过创建ClusterRoleBinding将不同的用户或组绑定到这个ClusterRole,以使PodSecurityPolicy资源中的策略对不同的用户或组生效。当PodSecurityPolicy访问控制插件需要决定是否接纳一个pod时,它只会考虑创建pod的用户可以访问到的PodSecurityPolicy中的策略,当没有找到任何策略时则会拒绝创建pod。

可以通过如下命令创建ClusterRole并允许其使用某个特定的policy

kubectl create clusterrole <cluster role name> --verb=use --resource=podsecuritypolicies --resource-name=<podSecurityPolicy name>

隔离pod的网络

NetworkPolicy用于限制pod可以与其他哪些pod通信。一个NetworkPolicy会应用在匹配它的标签选择器的pod上,通过入向规则和出向规则限定源地址和目标地址。但是使用NetworkdPolicy的前提是得到集群中使用的容器网络插件的支持。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-policy
spec:
  podSelector: # 当前这个policy应用的pod
    matchLabels:
      app: kubia
  ingress:
  - from:
    - podSelector: # 匹配该标签的pod可以访问该pod
        matchLabels:
          app: db
    ports:
    - port: 80
  - from:
    - namespaceSelector: # 通过命名空间的标签选择器指定哪些命名空间的pod可以访问该pod
        matchLabels:
          tenant: manning
    ports:
    - port: 80
  - from:
    - ipBlock: # 通过CIDR指定IP地址段
        cidr: 192.168.1.0/24
  egress: # 出向规则指定
  - to:
    - podSelector:
        matchLabels:
          app: database
jmuhe
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
个人学习k8s相关资料
06-01
这个“个人学习k8s相关资料”压缩包很可能是包含了一系列的学习资源,帮助你深入理解和掌握Kubernetes的核心概念和技术。下面将详细阐述K8s的关键知识点。 一、Kubernetes基础 1. **容器化**:Kubernetes建立在...
k8s 安装相关文件.zip
08-02
本文件是作为k8s集群环境搭建的配套资源文件,同时也可以作为缺少部分rpm或者docker镜像的用户下载
你应该了解的10个 Kubernetes 安全上下文设置[译]
因上努力,果上随缘。但行好事,莫问前程。
08-02 1630
在用加固你的应用时,有很多事情需要注意。如果使用得当,它们是一种非常有效的工具,我们希望这个列表能帮助你的团队为你的工作负载和环境进行正确的安全配置。https。
k8s不求甚解系列:POD的特权模式
weixin_38757398的博客
12-04 2921
本文描述了k8s中的特权pod的相关定义、使用场景。在文章的后半段给出了一份笔者的实践过程,期望能够带给读者启发
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor_allowprivilegeescalation和privileged
最新发布
qq194582923的博客
05-10 789
not startswith(image, input.parameters.prefix) ##input.parameters.prefix获取约束中的参数,并和image比较,判断两者是否相同为true。3、startswith(A,B),当A=B,则为true,此时会拦截,所以跟我们想要的结果相反,需要把输出值变成false才能放行,所以前面加个not取反即可。1、startswith(qingjun/flask-demo:v4, qingjun/) ,两者比较相等,输入值为true。
K8s开启容器内的文件系统只读功能
sre救赎之路
04-03 526
K8s启动的容器根目录权限可读写,存在安全隐患。
Kubernetes SecurityContext 安全上下文 特权模式运行pod
小楼一夜听春雨,深巷明朝卖杏花
08-06 6328
使用特权模式运行 pod 有时pod 需要做它们的宿主节点上能够做的任何事,例如操作被保护的系统设备,或使用其他在通常容器中不能使用的内核功能 ,这种 pod 个样例就是 kube-proxy pod ,该 pod需要修改宿主机的 iptables规则来让 kubernetes 中的服务规生效。 使用 kubeadm 部署集群时,你会看到每个节点上都运行了 kube-proxy pod,并且可 以查 YAML描述文件中所有使用到的特殊特性。 [root@k8s-master ~]# ..
保障K8s部署中的安全
Linuxprobe18的博客
11-21 284
导读 开发人员需要了解如何在容器化应用程序中嵌入控件,以及如何启用运行时保护机制以阻止黑客访问容器化系统。 Kubernetes是当前流行和常用的容器编排工具之一。Kubernetes工作负载就像简单的nginx服务器或cron作业一样执行的应用程序。Kubernetes部署成为了一种最常用的工作负载,因为它可以轻松更新、扩展和管理。 最近发布的Kubernetes Hardening指南是一个很好的资源,它提供了有关如何有效保护Kubernetes的指导。该指南提供的信息清楚地表明,保护和
K8S及镜像容器安全架构设计
10-17
K8S 及镜像容器安全架构设计 Kubernetes 安全架构设计是当前云计算和容器化技术中非常重要的一部分。该架构设计旨在提供一个安全、可靠、可扩展的容器化平台,以满足企业对安全和合规性的要求。 认证和授权 ...
K8S特性和架构组件.png
11-03
K8S特性和架构组件
k8s项目部署相关yaml文件.rar
12-11
这个压缩包“k8s项目部署相关yaml文件.rar”包含了一系列的YAML文件,这些文件是k8s中用于定义和配置资源对象的核心文档。在k8s集群中,YAML文件被用来描述各种组件,如Deployment、Service、Pod、ConfigMap等,通过...
腾讯云容器挂载configmap报错:read only fie system
qq_41727653的博客
05-31 2016
背景: 我们项目组使用的是腾讯云的容器k8s,镜像是研发同学构建的,其中的配置文件通过configmap的方式进行挂载。 进行
k8s 容器内操作报Permission defined,以root运行容器,定义Pod的特权和访问控制权限
qq_32352777的博客
05-10 1万+
目录 前言 查阅官方文档,找答案 解决方案 前言 当我们通过Pods、Daemon Sets、Deployments等方式运行pod时,大部分镜像容器默认是无特权的运行,独立用户运行的,以elastic/filebeat为例,查看用户和用户组: 可以看到默认是使用uid=1000的filebeat用户,当我们想在容器中创建文件、或者修改文件就会提示Permission defined,如下图所示: 我们可以看到filebeat用户没有写的权限,如果要解决这个问题我们可以通过
K8s: downward api使用volume挂载时报错 merged/etc/resolv.conf: read-only file system: unknown
amadeus_liu2的博客
12-20 328
k8s
android readonly file system,安卓ROOT权限下“Read-only file sytem”解决办法
热门推荐
weixin_28803105的博客
05-27 1万+
今天用安卓模拟器:BlueStacks,打开apk终端模拟器:Terminal,在shell操作命令的时候提示“Read-only file sytem”:第一种方法:在 Android 系统中,我们通过 adb 登录到 shell 进行操作时,可能会遇到操作失败并提示 “Read-only file system” 的问题。注意:这里的前提是已经获取到了 root 权限,否则下文的命令不能执行,...
K8s污点容忍、抢占与优先级、特权容器与Pod安全
m0_73770890的博客
01-10 1008
Pod污点、容忍、优先级、容器安全
k8s系列 之 容器安全pod安全 集群安全
yuezhilangniao的博客
09-13 1410
原文:https://blog.csdn.net/bloodzero_new/article/details/110328113 一 容器本身安全 Docker Security Capability: AppArmor: AppArmor(应用程序防护)是一种Linux安全模块,可保护操作系统及其应用程序免受安全威胁; SELinux: SELinux是一个应用程序安全系统,它提供了一个访问控制系统,大大增强了自由访问控制模型; Seccomp: Seccomp是一种Linux内核功能,可用于限制容器中可
14. 深入解析Pod对象(一)
weixin_30429201的博客
08-04 302
14. 深入解析Pod对象(一) """ 通过前面的讲解,大家应该都知道: Pod,而不是容器,它是 Kubernetes 项目中的最小编排单位。将这个设计落实到 API 对象上,容器(Container)就成了 Pod 属性里的一个普通的字段。那么,一个很自然的问题就是:到底哪些属性属于 Pod 对象,而又有哪些属性属于 Container 呢? """ 14.1 那些属性属于Pod...
KubernetesK8s)_11_安全机制
爱喝可乐的w
02-23 849
KubernetesK8s)保证集群安全机制
容器适配经验分享-V2.1(已脱敏)-第1节-K8S容器入门.pptx
02-24
容器适配经验分享-V2.1(已脱敏)-第1节-K8S容器入门.pptx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值