Kubernetes能保持网络安全

从上面可以看出，允许访问etcd非常危险。正如Kubernetes安全企业ControlPlane的联合创始人Andrew Martin 在Kubernetes自己的博客中写道：“ 对API服务器的etcd的写访问权限等同于在整个集群上获得root权限，甚至可以很容易的使用读访问权限公平地提升特权。”

因此，Martin建议：“ etcd应该配置有peer和客户端TLS证书，并部署在专用节点上。为避免私钥被从工作节点窃取和使用，集群也可以通过防火墙连接到API服务器。

不仅etcd需要网络保护。由于Kubernetes完全由API驱动，因此默认情况下，所有内部集群通信均使用TLS加密。

但是，这还不够。默认情况下，Kubernetes Pod接受来自任何来源的流量。在此重复一遍：“任何来源。” Pod已开放用于网络连接，这并不安全。由您决定网络策略，该策略可以安全地定义Pod如何在群集内以及与外部资源进行通信。

您可以通过添加支持网络策略控制器的网络插件来实现。如果没有这样的控制器，您设置的任何网络策略都不会生效。不幸的是，Kubernetes默认没有官方默认甚至首选的网络策略控制器。相反，您必须使用第三方插件，如Calico，Cilium，Kube-router，Romana或Weave Net。不管怎样，我最喜欢的是Calico。

我建议您从**“默认拒绝所有**”网络策略开始。这样，仅允许您随后明确允许的与其他网络策略规则的连接。由于网络策略是在namespace中设置的，因此您需要为每个namespace设置网络策略。

设置完成后，您可以开始允许适当的网络访问规则。

（编辑：泉州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!