[英]Assessing the security of Docker in Kubernetes (+Rancher)
我已經使用 docker docker-bench
評估了 Kubernetes 集群中 Docker 容器的安全配置。 我注意到所有 Kubernetes 容器,例如
kube-proxy
kubelet
kube-apiserver
k8s_kube-flannel_canal
k8s_POD_canal
k8s_trident-main_trident-csi
...
以root身份運行。 這是必要的嗎?
此外,一些 Kubernetes 容器,例如k8s_trident-main_trident
、 kube-proxy
和kubelet
以特權模式運行。 我想這是 Kubernetes 正常工作所必需的。
我的問題是:您如何正確評估 Kubernetes 中 Docker 的安全配置? 據我所知,Kubernetes 涵蓋了大多數設置,例如 CPU/內存使用、PID cgroup 限制和健康檢查。 不過現在不知道能不能說一下Docker通過Kubernetes和Rancher(也用RancherOS)管理時的安全配置。 重新定義上一個問題:除了強化 Kubernetes 之外,還應該采取哪些步驟/控制來強化 Docker?
...以 root 身份運行。 這是必要的嗎?
如果他們中的一些人這樣做,你可以假設應該有很好的理由。 相信kubernetes的創建者對最小權限原則的概念都比較熟悉。 所以我會說:是的,很可能有必要能夠在節點系統上執行所需的操作。 然而,它可以作為例子在這里討論。
例如kubeadm真的需要 root 權限嗎? 嗯...能夠執行所有必需的操作,是的。 與此答案進行比較。
然而,關於以非 root 用戶身份運行整個kubernetes集群的想法也出現了。 我發現一個有趣的演示文稿討論了這個概念。
您在問題中觸及了非常廣泛的主題,不可能提供一個正確的答案。 我會說它對於一篇廣泛的博客文章甚至電子書來說都是相當重要的(與這本相比)。
此外,一些 Kubernetes 容器,例如
k8s_trident-main_trident
、kube-proxy
和kubelet
以特權模式運行。 我想這是 Kubernetes 正常工作所必需的。
如果您希望您的容器也能夠在主機系統上執行某些操作,則無法避免特權模式。
您可能還想熟悉 kubernetes 官方文檔中的以下文章:
https://kubernetes.io/docs/concepts/security/overview/
https://kubernetes.io/docs/tasks/administer-cluster/securing-a-cluster/
我希望它有幫助。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.