k8s学习 - 安全

最新推荐文章于 2024-10-17 15:48:19 发布
最新推荐文章于 2024-10-17 15:48:19 发布
阅读量145 收藏
点赞数
分类专栏: k8s 学习 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41444433/article/details/123682949
版权

网络安全

RBAC

[root@k8s-master rbac]# cat serviceaccount.yaml 
apiVersion: v1
kind: ServiceAccount
metadata:
  name: cicd-token
  namespace: app-team1

[root@k8s-master rbac]# cat clusterrolebinding.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: cicd-token
  namespace: app-team1
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: deployment-clusterrole
subjects:
- kind: ServiceAccount
  name: cicd-token
  namespace: app-team1

[root@k8s-master rbac]# cat clusterrole.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: deployment-clusterrole
rules:
- apiGroups:
  - apps
  resources:
  - deployments
  - daemonsets
  - statefulsets
  verbs:
  - create

NetworkPolicy

需求, 只允许client1 能够访问web服务器80端口, 而client2则不能

[root@k8s-master yaml]# cat deployment-2.yaml 
apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: web
  name: web
spec:
  replicas: 1
  selector:
    matchLabels:
      app: web
  template:
    metadata:
      labels:
        app: web
    spec:
      containers:
      - image: nginx:1.16
        name: nginx
        resources: {}

[root@k8s-master yaml]# cat deployment-3.yaml 
apiVersion: apps/v1
kind: Deployment
metadata:
  name: client1
spec:
  replicas: 1
  selector:
    matchLabels:
      app: busybox1
  template:
    metadata:
      labels:
        app: busybox1
    spec:
      containers:
      - image: busybox
        name: busybox1
        command: ['sh', '-c', 'echo "Hello, Kubernetes!" && sleep 36000']
        resources: {}

[root@k8s-master yaml]# cat deployment-4.yaml 
apiVersion: apps/v1
kind: Deployment
metadata:
  name: client2
spec:
  replicas: 1
  selector:
    matchLabels:
      app: busybox2
  template:
    metadata:
      labels:
        app: busybox2
    spec:
      containers:
      - image: busybox
        name: busybox
        command: ['sh', '-c', 'echo "Hello, Kubernetes!" && sleep 36000']
        resources: {}

部署network policy

[root@k8s-master yaml]# cat network.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: web
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          project: defaults
    - podSelector:
        matchLabels:
          app: busybox1
    ports:
    - protocol: TCP
      port: 80

配置pod之间缺省规则为block

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-ingress
spec:
  podSelector: {}
  policyTypes:
  - Ingress
小腿乱蹬~
关注
专栏目录
k8s安全 入门学习
Vic的博客
06-16 1110
云的定义看似模糊,但本质上,它是一个用于描述全球服务器网络的术语,每个服务器都有一个独特的功能。云不是一个物理实体,而是一个庞大的全球远程服务器网络,它们连接在一起,旨在作为单一的生态系统运行。这些服务器设计用于存储和管理数据、运行应用程序,或者交付内容/服务(如视频短片、Web 邮件、办公室生产力软件或社交媒体)。不是从本地或个人计算机访问文件和数据,而是通过任何支持 Internet 的设备在线访问 - 这些信息在必要时随时随地可用。...
k8s-fordocker-desktop-v1.29.1
03-01
【标题】"k8s-fordocker-desktop-v1.29.1" 是一...通过"K8s-for-Docker-Desktop"这样的工具,Windows用户能够在本地便捷地利用Kubernetes的强大功能,无论是进行简单的学习探索还是复杂的项目开发,都能大大提高效率。
k8s学习-CKS真题-TLS安全配置
关注网络安全、云原生安全
05-17 1250
如果出现:Failed to restart etcd.service: Unit etcd.service not found.,可以查找kube-system下的etcd,例如。
k8s学习-CKS真题-Context安全上下文
关注网络安全、云原生安全
05-08 806
在spec下面添加(考试时可能已有securityContext)修改deployment。
k8s--安全认证
m0_74091945的博客
09-13 1081
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。客户端:一般是独立于kubernetes之外的其他服务管理的用户账号。:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。认证、授权与准入控制ApiServer是访问及管理资源对象的唯一入口。Authentication(认证):身份鉴别,只有正确的账号才能够通过认证。
k8s学习--k8s集群部署kubesphere的详细过程
lwxvgdv的博客
07-26 1832
KubeSphere 是在 Kubernetes 之上构建的面向云原生应用的分布式操作系统,完全开源,支持多云与多集群管理,提供全栈的 IT 自动化运维能力,简化企业的 DevOps 工作流。它的架构可以非常方便地使第三方应用与云原生生态组件进行即插即用 (plug-and-play) 的集成。作为全栈的多租户容器平台,KubeSphere 提供了运维友好的向导式操作界面,帮助企业快速构建一个强大和功能丰富的容器云平台。
k8s学习-CKS真题-Trivy扫描镜像安全漏洞
关注网络安全、云原生安全
04-16 1104
使用 Trivy 开源容器扫描器检测 namespace kamino 中 Pod 使用的具有严重漏洞的镜像。注意:Trivy 仅安装在 cluster 的 master 节点上,在工作节点上不可使用。查找具有 High 或 Critical 严重性漏洞的镜像,并删除使用这些镜像的 Pod。你必须切换到 cluster 的 master 节点才能使用 Trivy。一个个镜像手动扫描也不方便,问了下ChatGPT,搞成了一条命令。读者根据自己的操作系统版本安装即可。第一需要下载库(考试时不需要)
k8s学习-思维导图与学习笔记
关注网络安全、云原生安全
06-19 2691
博主准备学习k8s,考个CKA和CKS证书。云时代来临,容器技术必定能够在接下来很长一段时间处于火热地位,Google也在不断更新K8s,相信它的潜力。花了一些时间看了看官网,整理了一下思维导图,学习路径,接下来将不断更新。龚正等《Kubernetes权威指南:从Docker到Kuberbetes实战全接触》 马永亮《Kubernetes进阶实战》 郑东旭《Kubernetes源码剖析》K8s官网CNCF × Alibaba 云原生技术公开课k8s学习-k8s初识与Centos下集群安装 k8s学习-Pod
k8s学习--ingress详细解释与应用(nginx ingress controller))
lwxvgdv的博客
06-07 5503
Ingress 是 Kubernetes 中用于管理集群内服务暴露的 API 资源。它提供了 HTTP 和 HTTPS 路由功能,使外部流量能够访问集群内部的服务。通过定义 Ingress 资源,可以控制哪些外部请求能够访问集群中的哪些服务,以及如何路由这些请求。
k8s学习-k8s初识、Centos下集群安装与一键离线安装_kubeadm config images pull --image-repository regi
2401_84281588的博客
05-02 1076
检查日期时间date。
k8s学习--ConfigMap详细解释与应用
lwxvgdv的博客
05-29 2377
简单理解kubernetes集群可以使用ConfigMap来实现对容器中应用的配置进行管理(就是可以把一些应用的conf文件内容写到里面)。可以把ConfigMap看作是一个挂载到pod中的存储卷详细解释在 Kubernetes 中,ConfigMap 是一种 API 对象,用于存储非机密数据(如配置文件、环境变量、命令行参数等)。ConfigMap 允许您将应用程序的配置与容器化的应用程序分开管理,从而实现配置的灵活和动态管理。ConfigMap 的核心概念Key-Value 存储。
citrix-k8s-ingress-controller:适用于Kubernetes的Citrix ADC(NetScaler)入口控制器:
02-03
"citrix-k8s-ingress-controller"是Citrix为Kubernetes设计的专用入口控制器,它将Citrix ADC的强大功能集成到Kubernetes生态系统中,以实现更高效、安全的流量管理。 1. **Kubernetes Ingress**: Kubernetes ...
k8s-51cto-kubeadm部署k8s1.13.0-笔记总结
06-28
Kubernetes,简称K8s,是Google开源的一种容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。本文将深入探讨使用kubeadm工具在本地环境部署Kubernetes集群1.13.0版本的过程,这是一项对于运维人员至关重要...
K8S系列】Kubernetes pod节点NotReady问题及解决方案详解【已解决】
颜淡慕潇
10-17 1166
Kubernetes 集群中的每个节点都是运行容器化应用的基础。当节点状态显示为 `NotReady` 时,意味着该节点无法正常工作,这可能会导致 Pod 无法调度,从而影响整个应用的可用性。本文将深入分析节点不健康的各种原因、详细的排查步骤以及有效的解决方案。
k8s备份恢复工具--velero
professorman的博客
10-17 184
k8s的备份和恢复工具主要包括服务端和客户端两部分,服务端运行在k8s集群中,客户端运行在本地的命令行,本地需要配置好k8s的kubeconfig和kubectl客户端工具需要对象存储当做中间备份或存储的工具(S3,minio,OSS等)工作原理即是将k8s资源备份到对象存储当中,并可以从对象存储中拉取备份数据来恢复集群资源对象velero地址https://github.com/vmware-tanzu/velero下面操作的机器是配置好k8s的kubectl和kubeconfig的。
rancher安装并快速部署k8s 管理集群工具
最新发布
咸鱼很闲
10-17 305
安装的时候可以去github上检索rancher看看最新版本适配那个版本的docker,这里安装23.0.1版本。创建master节点(复制url到master节点安装)创建node节点(复制url到master节点安装)3台用于k8s集群 ,1台用于rancher。输入集群的名字其他的默认,完成之后点击创建。点击这,可以直接控制集群。每台服务器新增配置文件。
K8S技术深度解析与实践案例
运维人生
10-12 1164
K8s作为当前云原生和微服务架构的首选平台,凭借其强大的容器编排和管理能力,为企业提供了高效、可靠的应用部署和管理解决方案。本文深入探讨了K8s的基本概念、架构设计、核心组件、应用场景以及实战案例,展示了K8s在运维中的强大功能和便利性。未来,随着K8s生态的不断发展和完善,它将在企业运维中发挥更加重要的作用。
k8s 1.28.2 集群部署 MinIO 分布式集群
以梦为马|越骑越傻
10-10 1596
MinIO 官网MinIO 官方 linux 的部署文档以下内容从官方翻译MinIO 是一款软件定义的高性能分布式对象存储服务器所有 MinIO 部署都实施纠删码后端MinIO 有以下三种拓扑SNSD或者Standalone单节点驱动器除了底层存储卷实现的范围之外,它不会提供额外的可靠性或可用性。这些部署最适合本地测试和评估,或者没有可用性或性能要求的小型数据工作负载。SNMD或者单节点多驱动器性能、规模和容量要求较低的工作负载。
k8s ETCD数据备份与恢复
u010674101的专栏
10-14 1352
Kubernetes 集群中,etcd是一个分布式键值存储,它保存着整个集群的状态,包括节点、Pod、ConfigMap、Secrets 等关键信息。因此,定期对etcd进行备份是非常重要的,特别是在集群发生故障或需要恢复数据的情况下。本文将介绍如何备份和恢复 Kubernetes 中的etcd数据。
K8s容器集群管理深入学习指南
8. 安全性:K8s集群安全包括身份认证、授权、网络策略和密钥管理。它使用RBAC(基于角色的访问控制)来管理对集群资源的访问。 9. 扩展性:K8s具有良好的扩展性,通过API服务器暴露的RESTful接口允许使用自定义资源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值