CKS学习笔记
文章平均质量分 87
Kubernetes CKS 2021 Complete Course + Simu
CKS
对你无可奈何2008
境來不拒,境去不留。隨緣自適,心無增減.
展开
-
Cluster Hardening - RBAC
注:通过RBAC对集群进行加固关于RBACRBAC-role based access control 基于角色的访问控制注:ABAC(基于属性的访问控制),ABAC木有接触过…1. Introduction to RBAC RBAC介绍"Role-based access control (RBAC) is a method of regulating accessto computer or network resources based on the roles of individua原创 2021-03-18 10:42:20 · 540 阅读 · 1 评论 -
Cluster Setup - Verify Platform_Binaries
释意:Verify platform binaries 验证平台的二进制文件1. Hashes 哈希散列详见知乎:https://zhuanlan.zhihu.com/p/37165658关于哈希算法与MD5、SHA讲的很是详细。还有csdn的https://blog.csdn.net/ljy1988123/article/details/515065781.1 Theory and Hashes-理论与哈希哈希算法有两个评价标准,一个是无法回源,一个是随机性(碰撞概率小),一个是计算速度。原创 2021-03-15 15:51:26 · 273 阅读 · 0 评论 -
Cluster Setup - CIS Benchmarks(集群设置-CIS基线)
前言这一节主要掌握使用 kube-bench cis 安全基线检查集群的安全配置,并提高集群的安全性。所有操作都是抛砖引玉。1 . 关于CSI的释意1 . 什么是 CISCIS----Center fo internet Security 互联网安全中心2. 关于csi安全配置目标系统的最佳实践涵盖超过14个技术组织通过独特的基于共识的流程开发而成,该流程由世界各地的网络安全专业人员和主题专家组成3. 关于 CIS BenchmarksCIS Benchmarks -De原创 2021-03-13 18:01:33 · 805 阅读 · 1 评论 -
Node Metadata Protection--节点的元数据保护
1. 关于元数据kubernets集群不管是运行与公有云还是私有云,都是有些元数据的资源的各种各样的标签。比如镜像id,网络设备id,硬盘的唯一id等。2. 举一个例子2.1 cloud platform node metadata 云平台节点元数据拿谷歌云和亚马逊云来说默认的情况下可以从虚拟机vm(云主机)访问元数据服务的api元数据中保护有vm节点(云主机)的各种凭据信息。如网络id,镜像id vpcid.硬盘等待各种相关信息。具体详细度要看云商平台或者私有云架构可以包含诸如ku.原创 2021-03-13 11:54:44 · 2318 阅读 · 5 评论 -
Cluster Setup - Secure Ingress--安全入口
前言ingress objects with security control 一个具有安全控制的入口对象what is ingress? 什么是入口setup an ingress with services 使用服务设置入口secure an ingress with tls 使用tls保护入口参见官方文档https://kubernetes.io/docs/concepts/services-ne原创 2021-03-12 21:45:15 · 467 阅读 · 1 评论 -
Cluster Setup - GUI Elements GUI仪表盘
1. 前言这部分主要讲了kubernetes的Gui工具 dashboard。1. 关于 GUI元素的访问控制1. GUI元素和仪表盘2. 外部访问仪表盘的方法3. 访问的限制2. GUI元素和仪表盘遵循的原则1. 只在需要时向外部公开服务2. 集群内部服务/仪表板也可以使用kubectlport-forward端口转发访问。3. 需要开启rbac权限控制,否则蒋导致权限过大4. 对外暴露不是必须的2. 代理的方式1. 关于 Kubectl porxy方式1. cr原创 2021-03-11 17:22:01 · 476 阅读 · 0 评论 -
Cluster Setup - Network Policies 网络规则
1. 网络安全规则1.1. 关于网络安全规则 1. Firewall rules in kubernetes kubernetes 集群中的防火墙规则 2. Implemented by the Network Plugin CNI(Calico/Weave) 网络插件的实施方案 3. Namespace level 命名空间的级别 4. Restrict the ingress and/or Egress for a goup of pods based on原创 2021-03-10 20:12:02 · 406 阅读 · 0 评论 -
Foundation - Containers under the hood引擎下的容器
1. Containers and ImagesDockerfile- Script/text defined how to build an image 脚本或者文本 定义了如何去创建一个镜像Image-通过docker build构建的多层的二进制表现形式通过docker run 可以运行该镜像的实例也可以通过docker push将镜像上传到镜像仓库,然后通过docker pull 将镜像下载到本地服务器 然后运行一个容器实例2. 关于Container容器** Coll原创 2021-03-10 20:00:55 · 291 阅读 · 0 评论 -
Foudation -kubernetes secure Architecture-基础 kuberntes安全架构
1. docker Architecture1. run container in container engine-在容器引擎中运行容器2. Schedule containers effcient-高效的调度容器3. Keep containers alive and health- 保持容器的存活和健康4. Allow container communication- 允许容器的通信5. Allow common deployment techniques-允许通用的部署技术原创 2021-03-10 19:57:18 · 317 阅读 · 1 评论 -
Create you course K8s cluster-创建课程所需的k8s集群
注: 由于限制不能谷歌云绑定银联卡了,直接拿两台腾讯云服务器做课程实例线上跑的是自建的集群搭建方式详见:https://duiniwukenaihe.github.io/2020/07/22/tencent-slb-kubeadm-ha/(跑了两个集群,其实还是跑的1.16版本,只进行了小版本升级现为1.16.15版本)关于安全组配置就不详细说明了,由于是个人测试这里也没有做安全组策略,直接开放了ALL,ssh端口也没有做更改,当然了密码设置还是符合个人的安全策略的。由于测试环境不做各种系统优化,复杂配原创 2021-03-10 19:37:55 · 330 阅读 · 0 评论 -
K8s Security Best Practices-K8S安全最佳实践
**关于安全-写在前面的:Security is complex and a process 安全是复杂的,而且是一个过程Security combines many diffenrent things 安全结合了许多不同的东西Environments change,security cannot stay in a certain state 环境变化,安全性不能保持一定状态Attackers have advantage原创 2021-03-10 19:23:55 · 655 阅读 · 2 评论