保護(hù)Kubernetes集群的三大要素
譯文隨著基于容器的技術(shù)迅速得到采用,組織日益關(guān)注Kubernetes集群的安全性。雖然云和企業(yè)發(fā)行版提供了可靠的安全功能,但它們需要根據(jù)組織的安全要求進(jìn)行調(diào)整。
本文將介紹保護(hù)Kubernetes集群需要考慮的三個(gè)基本方面:
- 基于角色的訪問控制(RBA)
- 開放策略代理(OPA)
- 網(wǎng)絡(luò)策略
基于角色的訪問控制
假設(shè)一家組織有三個(gè)應(yīng)用程序團(tuán)隊(duì)(藍(lán)隊(duì)、綠隊(duì)和紅隊(duì))。由于這些團(tuán)隊(duì)開發(fā)不同的產(chǎn)品,應(yīng)該授予它們訪問Kubernetes集群的不同權(quán)限。比如說,綠隊(duì)和紅隊(duì)不應(yīng)查看、訪問或刪除藍(lán)隊(duì)部署的集群。
RBAC是一種控制用戶可以訪問哪些Kubernetes資源的方法。雖然RBAC在默認(rèn)情況下啟用,但必須加以配置才能使用它。
RBAC有五個(gè)關(guān)鍵要素:
- 主題——用戶和進(jìn)程
- 資源——應(yīng)限制訪問的對象
- 動(dòng)作——可以執(zhí)行的操作(常常名為動(dòng)作)集合
- 角色——將API資源與動(dòng)作連接起來的對象
- 角色綁定——將角色與主題連接起來的對象
不妨回到前面的那家組織,定義只有藍(lán)隊(duì)才能創(chuàng)建、刪除和列出Pod、部署(Deployment)和服務(wù)(Service)的策略。
我們先創(chuàng)建一個(gè)名為“role-blue”的角色對象,我們在其中定義可以對特定的Kubernetes資源執(zhí)行的操作。在這個(gè)特定情況下,角色允許對資源:Pod、部署和服務(wù)執(zhí)行“創(chuàng)建”、“刪除”和“列表”等操作。
接下來,我們創(chuàng)建一個(gè)名為“blue-rb”的角色綁定。這個(gè)角色綁定屬于“blue-ns”,它將上面創(chuàng)建的角色“role-blue”與名為“blue”的藍(lán)隊(duì)聯(lián)系起來。
一旦將這些資源運(yùn)用到集群,“blue”團(tuán)隊(duì)的用戶就能夠執(zhí)行“role-blue”中定義的操作。
開放策略代理
開放策略代理(OPA)是一種通用策略引擎,可以跨整個(gè)堆棧統(tǒng)一策略實(shí)施。它的高級聲明性語言提供了將策略指定為代碼的靈活性。您可以使用OPA在Kubernetes、CI/CD管道或API 網(wǎng)關(guān)中實(shí)施策略。不妨深入了解如何在Kubernetes中使用和實(shí)施它。
Kubernetes實(shí)施OPA的機(jī)制名為Gatekeeper。它被設(shè)計(jì)和部署成準(zhǔn)入控制器,負(fù)責(zé)攔截請求、處理請求,并返回允許或拒絕的響應(yīng)。
如果允許,對象會(huì)部署到集群上;否則,請求將被拒絕,并向用戶提供反饋。管理員可以定義策略,指示Kubernetes限制容器或命名空間可以消耗的內(nèi)存或CPU等資源,僅批準(zhǔn)基于來自特定注冊中心的鏡像的容器,限制NodePort服務(wù)創(chuàng)建,或執(zhí)行標(biāo)準(zhǔn)命名。
比如說,這是一個(gè)示例模板和約束策略,只有在命名空間中配置ResourceQuota后才允許創(chuàng)建Pod。
網(wǎng)絡(luò)策略
網(wǎng)絡(luò)策略與常規(guī)防火墻非常相似,不同之處在于它們以應(yīng)用程序?yàn)橹行摹D鸀閼?yīng)用程序定義網(wǎng)絡(luò)策略后,Kubernetes會(huì)自動(dòng)將這些規(guī)則運(yùn)用于關(guān)聯(lián)的容器,這是由于容器會(huì)在高度動(dòng)態(tài)的環(huán)境中不斷創(chuàng)建和終止。網(wǎng)絡(luò)策略控制進(jìn)出這些容器的流量。
默認(rèn)情況下,進(jìn)出Pod的網(wǎng)絡(luò)流量不受限制。一個(gè)好的開頭是設(shè)置拒絕所有流量的規(guī)則,然后只允許必要的流量。
默認(rèn)情況下,Kubernetes使用平面網(wǎng)絡(luò)結(jié)構(gòu),允許任何Pod與集群中的其他Pod或服務(wù)進(jìn)行通信。在有多個(gè)應(yīng)用程序或多級應(yīng)用程序的集群中,縱深防御在保護(hù)通信層方面起到了關(guān)鍵作用。網(wǎng)絡(luò)策略使我們能夠做到這一點(diǎn)。
這是一個(gè)“app1-network-policy”,它在“blue”命名空間中為標(biāo)簽為“role=db”的Pod運(yùn)用以下規(guī)則:
- [Ingress] 允許通過端口6379的來自ipBlock 172.17.0.0/24的連接。
- [Ingress] 如果來自其他Pod的連接被標(biāo)記為“role=frontend”,并且如果屬于端口6379上帶有標(biāo)簽“project=myproject”的命名空間,允許這些連接。
- [Egress] Pod可以通過5978端口與IP范圍為10.0.0.0/24的其他Pod進(jìn)行通信。
原文標(biāo)題:??3 key elements to protect a Kubernetes cluster???,作者:Avinash Desireddy
