kubernetes-security-best-practice
weight: 90
title: Kubernetes 集群安全性配置最佳实践
date: ‘2022-05-21T00:00:00+08:00’
type: book
本文是对
端口
请注意管理好以下端口。
端口 | 进程 | 描述 |
---|---|---|
4149/TCP | kubelet | 用于查询容器监控指标的 |
10250/TCP | kubelet | 访问节点的 |
10255/TCP | kubelet | 未认证的只读端口,允许访问节点状态 |
10256/TCP | kube-proxy | |
9099/TCP | calico-felix | |
6443/TCP | kube-apiserver |
Kubernetes 安全扫描工具kube-bench
kube-bench 可以消除大约
API 设置
授权模式和匿名认证
像AlwaysAllow
授权模式。这将授予任何经过身份验证的实体拥有完全访问集群的权限。应该使用--authorization-mode
参数。有关该主题的更多信息,请访问认证概览。要强制进行身份验证,请确保通过设置 --anonymous-auth = false
禁用匿名身份验证。
注意这不影响
更多关于使用
参考
- Kubernetes Security - Best Practice Guide - github.com
- Kubernetes v1.7 security in practice - acotten.com
- Isolate containers with a user namespace - docs.docker.com
- Docker Security – It’s a Layered Approach - logz.io
- Kubernetes 1.8: Security, Workloads and Feature Depth - blog.kubernetes.io
- Security Matters: RBAC in Kubernetes - blog.heptio.co