Kubernetes 为什么需要策略支持
Kubernetes 中内置了 RBAC、SecurityContext、PodSecurityPolicy 几个对象,用于为集群的运维和运营工作提供安全支持,那么为什么还要出现 Gatekeeper、Kyverno、Polaris 等策略系统呢?答案呼之欲出——不够用。首先看看几个内置手段的工作范围。
RBAC
这是一个最基础的访问控制手段,它的任务就是描述“谁”能把“什么”“怎么样”。
-
谁:这个主语通常指的是操作主体,在 RBAC 体系中,会在
RoleBinding
或ClusterRoleBinding
的Subject
字段中进行指定,其取值范围包括user
、group
以及ServiceAccount
等。 -
什么:Kubernetes 中的对象,例如
Pod
、Namespace
、NetworkPolicy
等,除此之外还包括对象的子对象,例如Pod
的logs
、exec
等。这个内容在Role
或者ClusterRole
的resources
字段中进行表达。 -
怎么样:允许特定用户对特定资源进行的操作,例如
get
、create
和update
等,这个内容保存在Role
或者ClusterRole
对象的verbs
字段中。
RBAC 相对来说是一个比较粗放的模型,实际工作中可能会有更复杂的需要,例如 Pod
、NetworkPolicy
或者复杂 Operator 的 CRD,都是需要精细控制的。
SecurityContext
SecurityContext
负责定义 Pod 和容器的一些具体行为,可以直接在 Pod 中进行定义。
注意 SecurityContext
字段在容器和 Pod 两个级别都是存在的,
容器级别的对象类型为 SecurityContext
,其限制范围包括:
allowPrivilegeEscalation
capabilities
privileged
procMount
readOnlyRootFilesystem
runAsGroup
runAsNonRoot
runAsUser
seLinuxOptions
windowsOptions
而 Pod 级别的对象类型为 PodSecurityContext
,其限制范围包括:
fsGroup
fsGroupChangePolicy
runAsGroup
runAsNonRoot
runAsUser
seLinuxOptions
supplementalGroups
sysctls
windowsOptions
PodSecurityPolicy
PSP 像是 RBAC 的延伸,通过 PodSecurityPolicy
对象定制 Pod 的安全规则,再借助 RBAC 的形式授权给用户,从而允许或者禁止特定用户/ServiceAccount 所创建的 Pod 的安全相关的能力。
和前面两种措施不同,PSP 并不是开箱即用的,需要单独启用这个 AdmissionController。在启用之前要注意,PSP 除了需要显式启用,还需要进行显式授权,必须为当前集群中运行的所有 Pod 所属的 ServiceAccount 赋予合适的 PSP,才能启用该功能,否则会造成大量的系统 Pod 无法正常运行。
PSP 基本覆盖了 SecurityContext 的各项能力,除此之外还加入了一些特技:
- hostPID、hostIPC
- hostNetwork、hostPorts
- allowedHostPaths
和可以自由发挥的 SecurityContext 相比,PSP 具备更多能力,也具备更大的强制性,可能会对既有集群上的业务造成一定影响,需要慎重使用。
工作负载安全
根据前面的了解,我们借助 Kubernetes 自有的安全设置能力,已经能够对工作负载进行很多有助于提高安全性的设置,这是否足够了呢?其实是存在一些漏洞的,例如管理需要,我们要求必须提供资源限制,可以使用如下的的 Kyverno 策略:
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
name: check-cpu-memory
spec:
validationFailureAction: enforce
rules:
- name: check-pod-resources
match:
resources:
kinds:
- Pod
validate:
message: "CPU and memory resource requests and limits are required"
pattern:
spec:
containers:
- name: "*"
resources:
limits:
memory: "?*"
cpu: "?*"
requests:
memory: "?*"
cpu: "?*"
用类似的手法,还可以检查标签、标注等是否合规。
参考 CIS Kubernetes Benchmark (v151)
,考虑以下几个要求:
5.1.1 Ensure that the cluster-admin role is only used where required
这是一个不计分项目,确保仅在必要时使用 cluster-admin
身份(例如 kubeadm 生成的缺省 kubeconfig 文件)。下面的 Kyverno 规则可以用于制止 cluster-admin
身份的用户创建 deployment
:
apiVersion : kyverno.io/v1
kind: ClusterPolicy
metadata:
name: deny-cluster-admin
spec:
validationFailureAction: enforce
background: false
rules:
- name: deny-cluster-admin
match:
resources:
kinds:
- Deployment
namespace: default
clusterroles:
- cluster-admin
validate:
message: "cluster-admin is denied"
deny: {}
5.2.4 Minimize the admission of containers wishing to share the host network namespace (Scored)
在没有启用 PSP 的情况下,可以用如下策略完成这个限制:
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
name: check-hostnetwork
spec:
validationFailureAction: enforce
background: false
rules:
- name: check-hostnetwork
match:
resources:
kinds:
- Deployment
validate:
message: "Hostnetwork is not allowed"
pattern:
spec:
template:
spec:
=(hostNetwork): "!true"
5.5.1 Configure Image Provenance using ImagePolicyWebhook admission controller
又一个不计分,但是个人认为很有用的规则,例如特定命名空间内,只会运行同样来源的镜像:
apiVersion : kyverno.io/v1
kind: ClusterPolicy
metadata:
name: image-prefix
spec:
validationFailureAction: enforce
background: false
rules:
- name: image-prefix
match:
resources:
kinds:
- Deployment
namespace: default
validate:
message: "Registry is not allowed"
pattern:
spec:
template:
spec:
containers:
- name: "*"
image: "trust-me/*"
- Elasticsearch推荐插件篇(head,sense,marvel)
- sql基础知识:日期的常用用法
- 《Effective Java》—— 对于所有对象都通用的方法
- 《Effective Java》—— 创建与销毁对象
- web调试工具——Fiddler使用介绍(一)
- Windows c++应用程序通用日志组件(组件及测试程序下载)
- 快速排序
- 如何在Elasticsearch中安装中文分词器(IK+pinyin)
- Python抓取中文网页
- 《Effective Java》—— 读后总结
- unix共享内存要点
- LAMP=Linux+Apache+Mysql+Php
- unix共享内存要点
- Elasticsearch —— bulk批量导入数据
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- C++11正则表达式 ECMAScript文法
- Flutter基础widgets教程-Divider篇
- std::vector扩容机制,.按1.5倍取整扩容,如下。
- 求一个数的临近的较大的2的整数次幂
- 在文件IO操作中,合理使用缓存。
- Flutter基础widgets教程-Drawer篇
- C++ 实现可变参数
- C++ 单例模式
- c++ 日志类 线程安全+缓存
- C++ 实现通过类名来进行实例化(反射机制?)
- Flutter基础widgets教程-ExpansionPanel篇
- muduo TcpServer粗略过程
- muduo 超时重连
- EventLoop,TcpClient,TcpServer 中的生命周期
- functional 和 bind 用法