带你玩转kubernetes-k8s(第41篇:深入分析集群安全机制四[Secret, PodSecurityPolicy])

最新推荐文章于 2024-07-29 15:03:17 发布
最新推荐文章于 2024-07-29 15:03:17 发布
阅读量4.2k 收藏 3
点赞数
分类专栏: kubernetes 带你玩转kubernets-k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31136839/article/details/99542394
版权

Secret私密凭据

    上一节提刀Secret对象,Secret的主要作用是保管私密数据,比如密码、OAuth Tokens、 SSH Key等信息。将这些私密信息放在Secret对象中比直接放在Pod或Docker Image中更安全,也更便于使用和分发。

   下面的例子用于创建一个Secret:

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  password: dmFsdWUtMg0K
  username: dmFsdWUtMQ0K

     在上面的例子中,data域的各子域的值必须为BASE64编码值,其中password域和username域BASE64编码前的值分别为value-1和value-2。
一旦Secret被创建,就可以通过下面三种方式使用它。
(1)在创建Pod时,通过为Pod指定Service Account来自动使用该Secret。
(2)通过挂载该Secret到Pod来使用它。
(3)在Docker镜像下载时使用,通过指定Pod的spc.ImagePullSecrets来引用它。
      第1种使用方式主要用在API Server鉴权方面,之前提到过。下面的例子展示了第2种使用方式:将一个Secret通过挂载的方式添加到Pod的Volume中:

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mycontainer
    image: tomcat
    volumeMounts:
    - name: foo1
      mountPath: "/etc/foo1"
      readOnly: true
  volumes:
  - name: foo1
    secret:
      secretName: mysecret

第3种使用方式的使用流程如下:

(1)执行login命令,登录私有Registry:

docker login localhost:8000


输入用户名和密码,如果是第1次登录系统,则会创建新用户,相关信息被会写入~/.dockercfg文件中。
(2)用BASE64编码dockercfg的内容:

cat ~/.dockercfg base64


(3)将上一步命令的输出结果作为Secret的data.dockercfg域的内容,由此来创建一个Secret:

# image-poll-secret.yaml:
apiVersion: v1
kind: Secret
metadata:
  name: myregistrykey
data:
  dockercfg: .......................................
  type: kubernetes.io/dockercfg
kubectl create -f image-pull-secret.yaml


(4)在创建Pod时引用该Secret:

# pods.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mypod2
spec:
  containers:
  - name: foo
    image: jaychou/tomcat:v1
  imagePullSecrets:
  - name: myregistrykey

kubectl create -f pods.yaml

在使用Mount方式挂载Secret时,Container中Secret的data域的各个域的Key值作为目录中的文件,Value值被BASE64编码后存储在相应的文件中。在前面的例子中创建的Secret,被挂载到一个叫作mycontainer的Container中,在该Container中可通过相应的查询命令查看所生成的文件和文件中的内容,如下所示:

      通过上面的例子可以得出如下结论:我们可以通过Secret保管其他系统的敏感信息(比如数据库的用户名和密码),并以Mount的方式将Secret挂载到Container中,然后通过访问目录中文件的方式获取该敏感信息。当Pod被API Server创建时,API Server不会校验该Pod引用的Secret是否存在。一旦这个Pod被调度,则kubelet将试着获取Secret的值。如果Secret不存在或暂时无法连接到API Server,则kubelet按一定的时间间隔定期重试获取该Secret,并发送一个Event来解释Pod没有启动的原因。一旦Secret被Pod获取,则kubelet将创建并挂载包含Secret的Volume。只有所有Volume都挂载成功,Pod中的Container才会被启动。在kubelet启动Pod中的Container后,Container中和Secret相关的Volume将不会被改变,即使Secret本身被修改。为了使用更新后的Secret,必须删除旧Pod,并重新创建一个新Pod。

Pod的安全策略配置

     为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod的安全策略进行管理,并在1.10版本中升级为Beta版,到1.14版本时趋于成熟。目前PodSecurityPolicy资源对象的API版本为extensions/v1beta1,从1.10版本开始更新为policy/v1beta1,并计划于1.16版本时弃用extensions/v1beta1。

1.PodSecurityPolicy的工作机制

  若想启用PodSecurityPolicy机制,则需要在kube-apiserver服务的启动参数--enable-admission-plugins中进行设置:

如果是高可用,所有apiserver均需要修改

kubectl edit pod -n kube-system kube-apiserver-k8s-master1

--enable-admission-plugins=PodSecurityPolicy

   

   在开启PodSecurityPolicy准入控制器后,Kubernetes默认不允许创建任何Pod,需要创建PodSecurityPolicy策略和相应的RBAC授权策略(Authorizing Policies),Pod才能创建成功。

  例如,尝试创建如下Pod:

apiVersion: v1
kind: Pod
metadata:
  name: nginx
spec:
  containers:
  - name: nginx
    image: nginx

使用Kubectl命令创建时,系统将提示“禁止创建”的报错信息。

接下来创建一个PodSecurityPolicy,配置文件psp-non-privileged.yaml的内容如下:

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: psp-non-privileged
spec:
  privileged: false # 不允许特权模式的Pod
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  runAsUser:
    rule: RunAsAny
  fsGroup:
    rule: RunAsAny
  volumes:
  - '*'

之后再次创建Pod既可成功。

    上面的PodSecurityPolicy“psp-non-privileged”设置了privileged: false,表示不允许创建特权模式的Pod。在下面的YAML配置文件pod-privileged.yaml中为Pod设置了特权模式:

apiVersion: v1
kind: Pod
metadata:
  name: nginx
spec:
  containers:
  - name: nginx
    image: nginx
    securityContext:
      privileged: true

创建Pod时,系统将提示“禁止创建特权模式的Pod”的报错信息.

2.PodSecurityPolicy配置详情

    在PodSecurityPolicy对象中可以设置下列字段来控制Pod运行时的各种安全策略。

1.特权模式相关配置
privileged:是否允许Pod以特权模式运行。

2.宿主机资源相关配置
(1)hostPID:是否允许Pod共享宿主机的进程空间。
(2)hostIPC:是否允许Pod共享宿主机的IPC命名空间。
(3)hostNetwork:是否允许Pod使用宿主机网络的命名空间。
(4)hostPorts:是否允许Pod使用宿主机的端口号,可以通过hostPortRange字段设置允许使用的端口号范围,以【min,max】设置最小端口号和最大端口号。
(5)Volumes:允许Pod使用的存储卷Volume类型,设置为“*”表示允许使用任意Volume类型,建议至少允许Pod使用下列Volume类型。
◎ configMap
◎ downwardAPI
◎ emptyDir
◎ persistentVolumeClaim
◎ secret
◎ projected
(6)AllowedHostPaths:允许Pod使用宿主机的hostPath路径名称,可以通过pathPrefix字段设置路径的前缀,并可以设置是否为只读属性,例子如下。

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: allow-hostpath-volumes
spec:
  volumes:
  - hostPath
  allowedHostPaths:
  - pathPrefix: "/foo"
    readOnly: true

      结果为允许Pod访问宿主机上以“/foo”为前缀的路径,包括“/foo”“/foo/”“/foo/bar”等,但不能访问“/fool”“/etc/foo”等路径,也不允许通过“/foo/../”表达式访问/foo的上层目录。

(7)FSGroup:设置允许访问某些Volume的Group ID范围,可以将规则(rule字段)设置为MustRunAs、MayRunAs或RunAsAny。

◎ MustRunAs:需要设置Group ID的范围,例如1~65535,要求Pod的securityContext.fsGroup设置的值必须属于该Group ID的范围。
◎ MayRunAs:需要设置Group ID的范围,例如1~65535,不强制要求Pod设置securityContext.fsGroup。
◎ RunAsAny:不限制Group ID的范围,任何Group都可以访问Volume。

(8)ReadOnlyRootFilesystem:要求容器运行的根文件系统(root filesystem)必须是只读的。
(9)allowedFlexVolumes:对于类型为flexVolume的存储卷,设置允许使用的驱动类型,例子如下。

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: allow-flex-volumes
spec:
  volumes:
  - flexVolume
  allowedFlexVolumes:
  - driver: example/lvm
  - driver: example/cifs

3.用户和组相关配置
(1)RunAsUser:设置运行容器的用户ID(User ID)范围,规则字段(rule)的值可以被设置为MustRunAs、MustRunAsNonRoot或RunAsAny。
◎ MustRunAs:需要设置User ID的范围,要求Pod的securityContext.runAsUser设置的值必须属于该User ID的范围。
◎ MustRunAsNonRoot:必须以非root用户运行容器,要求Pod的securityContext.runAsUser设置一个非0的用户ID,或者镜像中在USER字段设置了用户ID,建议同时设置allowPrivilegeEscalation=false以避免不必要的提升权限操作。
◎ RunAsAny:不限制User ID的范围,任何User都可以运行。

(2)RunAsGroup:设置运行容器的Group ID范围,规则字段的值可以被设置为MustRunAs、MustRunAsNonRoot或RunAsAny。
◎ MustRunAs:需要设置Group ID的范围,要求Pod的securityContext.runAsGroup设置的值必须属于该Group ID的范围。
◎ MustRunAsNonRoot:必须以非root组运行容器,要求Pod的securityContext.runAsUser设置一个非0的用户ID,或者镜像中在USER字段设置了用户ID,建议同时设置allowPrivilegeEscalation=false以避免不必要的提升权限操作。
◎ RunAsAny:不限制Group ID的范围,任何Group的用户都可以运行

(3)SupplementalGroups:设置容器可以额外添加的Group ID范围,可以将规则(rule字段)设置为MustRunAs、MayRunAs或RunAsAny。
◎ MustRunAs:需要设置Group ID的范围,要求Pod的securityContext.supplementalGroups设置的值必须属于该Group ID范围。
◎ MayRunAs:需要设置Group ID的范围,不强制要求Pod设置securityContext.supplementalGroups。
◎ RunAsAny:不限制Group ID的范围,任何supplementalGroups的用户都可以运行。

4.提升权限相关配置

(1)AllowPrivilegeEscalation:设置容器内的子进程是否可以提升权限,通常在设置非root用户(MustRunAsNonRoot)时进行设置。
(2)DefaultAllowPrivilegeEscalation:设置AllowPrivilegeEscalation的默认值,设置为disallow时,管理员还可以显式设置AllowPrivilegeEscalation来指定是否允许提升权限。

5.Linux能力相关配置

(1)AllowedCapabilities:设置容器可以使用的Linux能力列表,设置为“*”表示允许使用Linux的所有能力(如NET_ADMIN、SYS_TIME等)。
(2)RequiredDropCapabilities:设置不允许容器使用的Linux能力列表。
(3)DefaultAddCapabilities:设置默认为容器添加的Linux能力列表,例如SYS_TIME等,Docker建议默认设置的Linux能力请查看https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities

6.SELinux相关配置

seLinux:设置SELinux参数,可以将规则字段(rule)的值设置为MustRunAs或RunAsAny。
◎ MustRunAs:要求设置seLinuxOptions,系统将对Pod的securityContext.seLinuxOptions设置的值进行校验。
◎ RunAsAny:不限制seLinuxOptions的设置。

7.其他Linux相关配置

(1)AllowedProcMountTypes:设置允许的ProcMountTypes类型列表,可以设置allowedProcMountTypes或DefaultProcMount。
(2)AppArmor:设置对容器可执行程序的访问控制权限,详情请参考https://kubernetes.io/docs/tutorials/clusters/apparmor/#podsecuritypolicy-annotations

notations。
(3)Seccomp:设置允许容器使用的系统调用(System Calls)的profile。
(4)Sysctl:设置允许调整的内核参数,详情请参考https://kubernetes.io/docs/concepts/cluster-administration/sysctl-cluster/#podsecuritypolicy

下面列举两种常用的PodSecurityPolicy安全策略配置。
例1:基本没有限制的安全策略,允许创建任意安全设置的Pod。

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: privileged
  annotations:
    seccomp.security.alpha.kubernetes.io/allowedProfileNames: '*'
spec:
  privileged: true
  allowPrivilegeEscalation: true
  allowedCapabilities:
  - '*'
  volumes:
  - '*'
  hostNetwork: true
  hostPorts:
  - min: 0
    max: 65535
  hostIPC: true
  hostPID: true
  runAsUser:
    rule: 'RunAsAny'
  seLinux:
    rule: 'RunAsAny'
  supplementalGroups:
    rule: 'RunAsAny'
  fsGroup:
    rule: 'RunAsAny'

例2:要求Pod运行用户为非特权用户;禁止提升权限;不允许使用宿主机网络、端口号、IPC等资源;限制可以使用的Volume类型,等等。

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restricted
  annotations:
    seccomp.security.alpha.kubernetes.io/allowedProfileNames: 'docker/default'
    apparmor.security.beta.kubernetes.io/allowedProfileNames: 'runtime/default'
    seccomp.security.alpha.kubernetes.io/defaultProfileName: 'docker/default'
    apparmor.security.beta.kubernetes.io/dafaultProfileName: 'runtime/default'
spec:
  privileged: false
  allowPrivilegeEscalation: false
  requiredDropCapabilities:
  - ALL
  volumes:
  - 'configMap'
  - 'emptyDir'
  - 'projected'
  - 'secret'
  - 'downwardAPI'
  - 'persistentVolumeClaim'
  hostNetwork: false
  hostIPC: false
  hostPID: false
  runAsUser:
    rule: 'MustRunAsNonRoot'
  seLinux:
    rule: 'MustRunAs'
    ranges:
    - min: 1
      max: 65535
  fsGroup:
    rule: 'MustRunAs'
    ranges:
    - min: 1
      max: 65535
  readOnlyRootFilesystem: false

此外,Kubernetes建议使用RBAC授权机制来设置针对Pod安全策略的授权,通常应该对Pod的ServiceAccount进行授权。
例如,可以创建如下ClusterRole(也可以创建Role)并将其设置为允许使用PodSecurityPolicy:

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: <role name>
rules:
- apiGroup: ['policy']
  resources: ['podsecuritypolicies']
  verbs: ['use']
  resourceNames:
  - <list of policies to authorize>  # 允许使用的PodSecurityPolicy列表

然后创建一个ClusterRoleBinding与用户和ServiceAccount进行绑定:

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: <binding name>
roleRef:
  kind: ClusterRole
  name: <roke name>  # 之前创建的ClusterRole名称
  apiGroup: rbac.authorization.k8s.io
subjects:
# 对特定Namespace中的ServiceAccount进行授权
- kind: ServiceAccount
  name: <authorized servie account name> # ServiceAccount 的名称
  namespace: <authorized pod namespace> # Namespace的名称
# 对特定用户进行授权(不推荐)
- kind: User
  apiGroup: rbac.authorization.k8s.io
  name: <authorized user name>  # 用户名

也可以创建RoleBinding对与该RoleBinding相同的Namespace中的Pod进行授权,通常可以与某个系统级别的Group关联配置,例如:

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: <binding name>
  namespace: <binding namespace>  # 该RoleBinding 所属的Namespace
roleRef:
  kind: Role
  name: <role name>
  apiGroup: rbac.authorization.k8s.io
subjects:
# 授权该Namespace中的全部ServiceAccount
- kind: Group
  apiGroup: rbac.authorization.k8s.io
  name: system:serviceaccounts
# 授权该Namespace中的全部哦用户
- kind: Group
  apiGroup: rbac.authorization.k8s.io
  name: system:authenticated

Pod的安全设置详解

     在系统管理员对Kubernetes集群中设置了PodSecurityPolicy策略之后,系统将对Pod和Container级别的安全设置进行校验,对于不满足PodSecurityPolicy安全策略的Pod,系统将拒绝创建。
      Pod和容器的安全策略可以在Pod或Container的securityContext字段中进行设置,如果在Pod和Container级别都设置了相同的安全类型字段,容器将使用Container级别的设置。
在Pod级别可以设置的安全策略类型如下。
◎ runAsUser:容器内运行程序的用户ID。
◎ runAsGroup:容器内运行程序的用户组ID。
◎ runAsNonRoot:是否必须以非root用户运行程序。
◎ fsGroup:SELinux相关设置。
◎ seLinuxOptions:SELinux相关设置。
◎ supplementalGroups:允许容器使用的其他用户组ID。
◎ sysctls:设置允许调整的内核参数。
在Container级别可以设置的安全策略类型如下。
◎ runAsUser:容器内运行程序的用户ID。
◎ runAsGroup:容器内运行程序的用户组ID。
◎ runAsNonRoot:是否必须以非root用户运行程序。
◎ privileged:是否以特权模式运行。
◎ allowPrivilegeEscalation:是否允许提升权限。
◎ readOnlyRootFilesystem:根文件系统是否为只读属性。
◎ capabilities:Linux能力列表。
◎ seLinuxOptions:SELinux相关设置。
例1:Pod级别的安全设置,作用于该Pod内的全部容器。

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 1000
    runAsGroup: 3000
    fsGroup: 2000
  volumes:
  - name: sec-ctx-vol
    emptyDir: {}
  containers:
  - name: sec-ctx-demo
    image: tomcat
    volumeMounts:
    - name: sec-ctx-vol
      mountPath: /data/demo
    securityContext:
      allowPrivilegeEscalation: false

在spec.securityContext中设置了如下参数。
◎ runAsUser=1000:所有容器都将以User ID 1000运行程序,所有新生成文件的User ID也被设置为1000。
◎ runAsGroup=3000:所有容器都将以Group ID 3000运行程序,所有新生成文件的Group ID也被设置为3000。
◎ fsGroup=2000:挂载的卷“/data/demo”及其中创建的文件都将属于Group ID 2000。

创建该Pod之后进入容器环境,查看到运行进程的用户ID为1000:

 

查看从Volume挂载到容器的/data/demo目录,其Group ID为2000

 

在该目录下创建一个新文件,可见其用户ID为1000,组ID为2000:

 

例2:Container级别的安全设置,作用于特定的容器。

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo-2
spec:
  securityContext:
    runAsUser: 1000
  containers:
  - name: sec-ctx-demo-2
    image: tomcat
    securityContext:
      runAsUser: 2000
      allowPrivilegeEscalation: false

创建该Pod之后进入容器环境,查看到运行进程的用户ID为2000:

 

 

例3:为Container设置可用的Linux能力,为容器设置允许使用的Linux能力包括NET_ADMIN和SYS_TIME。

 

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo-3
spec:
  containers:
  - name: sec-ctx-3
    image: tomcat
    securityContext:
      capabilities:
        add: ["NET_ADMIN","SYS_TIME"]

创建该Pod之后进入容器环境,查看1号进程的Linux能力设置:

 

 

小结:

    本节内容到此结束,明天开始,开始讲解k8s的网络原理。

     谢谢大家的支持!    

 

 

 

 

 

坚持的道路注定孤独
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
K8s(二十一):在 Kubernetes 集群中部署 MySQL8.0 高可用集群(1主2从)
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-16 1万+
🔴 K8s(二十一):在 Kubernetes 集群中部署 MySQL8.0 高可用集群(1主2从)
Kubernetes Pod Security Policies (PSP)解析
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-10 369
Pod Security Policies (PSP) 是 Kubernetes 中一个已经废弃的功能,它曾用于控制Pod及其容器的运行时安全属性,比如容器是否能运行在特权模式下、是否能使用特定的Linux功能、挂载什么样的卷等。PSP作为一种集群级别的策略,帮助管理员定义了一系列规则,以确保Pod按照组织的安全标准运行。
K8SPod 或容器配置安全上下文securityContext,解决Docker容器限制文件句柄数的问题
运维@小兵的博客
09-12 8085
文章目录一、问题浅谈Docker安全性支持二、解决方法`方法一:简单粗暴``方法二:温柔可佳`Capability能力介绍点这里 一、问题 我需要在容器里面把最大文件句柄数设置为204800,但发现被拒绝。这是Docker自身安全机制导致的 浅谈Docker安全性支持 二、解决方法 方法一:简单粗暴 设置容器为特权模式即可,但安全性不高 在yaml文件添加如下两行 securityContext: privileged: true kubectl apply -f pod-01.yam
Kubernetes安全--securityContext介绍
最新发布
07-29 372
安全上下文(Security Context)定义 Pod 或 Container 的特权与访问控制设置。自主访问控制(Discretionary Access Control):基于 用户 ID(UID)和组 ID(GID). 来判定对对象(例如文件)的访问权限。安全性增强的 Linux(SELinux): 为对象赋予安全性标签。以特权模式或者非特权模式运行。Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。AppArmor:使用程序框架来限制个别程序的权能。Seccomp。
Kubernetes Pod Security Policies详解
爱死亡机器人
06-01 1430
版本 功能状态: Kubernetes v1.21 [deprecated] PodSecurityPolicyKubernetes v1.21 起已弃用,并将在 v1.25 中删除。 Pod 安全策略启用对 Pod 创建和更新的细粒度授权 介绍 PodSecurityPolicy对象定义一组条件,一个pod必须以被接受进入系统,以及用于相关字段默认值运行。它们允许管理员控制以下内容: 运行特权容器 privileged 主机命名空间的使用 hostPID, hostIPC 主机网
Kubernetes 最佳安全实践指南
小楼一夜听春雨,深巷明朝卖杏花
07-12 1692
Kubernetes安全地运行工作负载是很困难的,有很多配置都可能会影响到整个 Kubernetes API安全性,这需要我们有大量的知识积累来正确的实施。Kubernetes安全方面提供了一个强大的工具securityContext,每个 Pod 和容器清单都可以使用这个属性。在本文中我们将了解各种securityContext的配置,探讨它们的含义,以及我们应该如何使用它们。 securityContext设置在PodSpec和ContainerSpec规范中都有定义,...
非root用户运行容器(K8S SecurityContext)
小单的博客专栏
08-04 4957
一、从构建镜像的角度下手 将非root用户添加到Dockerfile # RUN命令执行创建用户和用户组(命令创建了一个用户newuser设定ID为5000,并指定了用户登录后使用的主目录和shell) RUN groupadd --gid 5000 newuser \ && useradd --home-dir /home/newuser --create-home --uid 5000 --gid 5000 --shell /bin/sh --skel /dev/null newus
Kubernetes 集群安全机制详解
qhh0205
08-22 3358
本文主要介绍 Kubernetes安全机制,如何使用一系列概念、技术点、机制确保集群的访问是安全的,涉及到的关键词有:api-server,认证,授权,准入控制,RBAC,Service Account,客户端证书认证,Kubernetes 用户,Token 认证等等。虽然涉及到的技术点比较琐碎,比较多,但是了解整个机制后就很容易将其串起来,从而能很好地理解 Kubernetes 集群安全机制...
K8S中,如何安全管理Secrets?
zybb166的博客
01-11 704
为何要加密? 在Kubernetes中,Secret是用来帮我们存储敏感信息的,比如密码、证书等,但是在默认的情况下,Secret只是做了简单的base64编码,任何人都可以非常容易的对其进行解密获取到原始数据。 比如通过以下方法生成一个secret对象: $echo-n"coolops"|kubectlcreatesecretgenericmysecret--dry-run--from-file=secret=/dev/stdin-oyaml>secret.ya...
gauravpandey44-kubernetes-k8s.pdf
07-03
### Kubernetes (K8s) 知识点概览 #### 定义与起源 - **Kubernetes**(简称 k8s)是一种由 Google 开发并开源的容器编排技术,首次公开于 2015 年。它主要用于管理容器化应用程序。 - Kubernetes 的主要功能包括...
citrix-k8s-ingress-controller:适用于Kubernetes的Citrix ADC(NetScaler)入口控制器:
02-03
通过深入研究这些文件,你可以学习如何在Kubernetes集群上配置和使用Citrix ADC作为入口控制器,以实现高级的流量管理和安全性。这包括配置YAML文件、理解控制器的工作原理、监控和调试策略,以及如何与现有的...
psp-allow-privilege-escalation:Kubewarden Pod安全策略,用于控制allowPrivilegeEscalation的使用
04-15
持续集成 执照 该Kubewarden策略替代了Kubernetes Pod安全策略,该策略限制了的使用。 政策如何运作 此策略拒绝启用了allowPrivilegeEscalation安全上下文的所有allowPrivilegeEscalation 。 该策略还会检查initContainers 。 例子 由于nginx容器已启用allowPrivilegeEscalation因此以下Pod将被拒绝: apiVersion : v1 kind : Pod metadata : name : nginx spec : containers : - name : nginx image : nginx securityContext : allowPrivilegeEscalation : true - name : sidecar
rabbitmq-peer-discovery-k8s:RabbitMQ的基于Kubernetes的对等发现机制
02-04
`rabbitmq-peer-discovery-k8s`插件是RabbitMQ官方提供的一个发现机制,它允许RabbitMQ节点通过Kubernetes API来发现集群中的其他节点。在K8s环境中,每个RabbitMQ Pod都可以配置为使用这个插件,通过阅读Kubernetes...
zero-to-jupyterhub-k8s:在Kubernetes上部署JupyterHub的Helm图表和文档
02-03
使用Kubernetes从零到JupyterHub 此仓库包含JupyterHub的Helm图表和使用指南。 它们共同使您能够为大量用户(例如大学的教职员工和学生)提供JupyterHub。 导游 提供了用户友好的步骤,以使用和在云上部署 。 该...
深度解读!阿里统一应用管理架构升级的教训与实践
阿里云开发者
03-16 3329
简介: 如何既让全公司的研发和运维充分享受云原生技术体系革新来的专注力与生产力提升,又能够让现有 PaaS 体系无缝迁移、接入到 Kubernetes 大底盘当中,还要让新的 PaaS 体系把 Kubernetes 技术与生态的能力和价值最大程度的发挥出来,而不是互相“屏蔽”甚至“打架”?这个“既要、又要、还要”的高标准要求,才是解决上述 “Kubernetes vs PaaS” 难题的关键所...
OpenShift 4 - 容器安全SecurityContext 配置
多恩斯基的博客
01-05 1223
以下两文介绍了如何利用容器特权配置对容器平台进行安全攻击,而本文介绍和部署运行容器相关的最佳 SecurityContext 实践。
Docker安全防护与配置
aming
02-17 2227
Docker Daemon 启动的服务对外提供的是 HTTP 接口,为了增强 HTTP 连接的安全性,我们通过设置 TLS 来认证客户端是可信的,只有通过证书验证的客户端才可以连接 Docker Daemon。(1)创建容器: 通过 LInux 系统自的隔离的方式,将文件系统、进程、设备、网络等资源进行隔离,对权限、CPU 资源等进行控制,最终实现容器之间互不影响。的权限非常大,接近于宿主机的权限,为了防止用户的滥用,需要增加限制,只提供给容器必须的权限。这些 API 并不涉及用户账户和用户认证。
KubernetesSecret使用详解
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
Kubernetes学习笔记七:ConfigMap和Secret
liuffei的专栏
02-20 696
ConfigMap和Secret实战
Kubernetes(k8s)三节点集群部署教程:环境准备与服务配置
文档是关于Kubernetesk8s集群的搭建指南,详细步骤针对的是一个包含3个节点的集群k8s-master、k8s-node1和k8s-node2。这些节点均运行在CentOS 7.4系统上,每个节点都具有2个CPU核心和4GB内存。 首先,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值