序言
云原生
- 云原生（Cloud Native）的定义
- 云原生的设计哲学
- Play with Kubernetes
- 快速部署一个云原生本地实验环境
- 使用 Rancher 在阿里云上部署Kubenretes集群
- Kubernetes 与云原生应用概览
- 云原生应用之路——从Kubernetes到Cloud Native
- 云原生编程语言
  - 云原生编程语言Ballerina
  - 云原生编程语言Pulumi
- 云原生的未来
Kubernetes 架构
- 设计理念
- Etcd 解析
- 开放接口
Kubernetes 中的网络
- Kubernetes 中的网络解析——以 flannel 为例
- Kubernetes 中的网络解析——以 calico 为例
- 具备 API 感知的网络和安全性管理开源软件Cilium
  - Cilium 架构设计与概念解析
- 资源对象与基本概念解析
Pod 状态与生命周期管理
- Pod 概览
- Pod 解析
- Init 容器
- Pause 容器
- Pod 安全策略
- Pod 的生命周期
- Pod Hook
- Pod Preset
- Pod 中断与 PDB（Pod 中断预算）
集群资源管理
- Node
- Namespace
- Label
- Annotation
- Taint 和 Toleration（污点和容忍）
- 垃圾收集
控制器
- Deployment
- StatefulSet
- DaemonSet
- ReplicationController 和 ReplicaSet
- Job
- CronJob
- Horizontal Pod Autoscaling
  - 自定义指标 HPA
- 准入控制器（Admission Controller）
服务发现
- Service
- Ingress
  - Traefik Ingress Controller
身份与权限控制
- ServiceAccount
- RBAC ——基于角色的访问控制
- NetworkPolicy
存储
- Secret
- ConfigMap
  - ConfigMap 的热更新
- Volume
- Persistent Volume（持久化卷）
- Storage Class
- 本地持久化存储
集群扩展
- 使用自定义资源扩展 API
- 使用 CRD 扩展Kubernetes API
- Aggregated API Server
- APIService
- Service Catalog
资源调度
- QoS（服务质量等级）
用户指南
资源对象配置
- 配置 Pod 的 liveness 和 readiness 探针
- 配置 Pod 的 Service Account
- Secret 配置
- 管理 namespace 中的资源配额
命令使用
- Docker 用户过渡到kubectl命令行指南
- kubectl 命令概览
- kubectl 命令技巧大全
- 使用 etcdctl 访问 kubernetes 数据
集群安全性管理
- 管理集群中的 TLS
- kubelet 的认证授权
- TLS bootstrap
- 创建用户认证授权的kubeconfig文件
- IP 伪装代理
- 使用 kubeconfig 或 token 进行用户身份认证
- Kubernetes 中的用户与身份认证授权
- Kubernetes 集群安全性配置最佳实践
访问 Kubernetes 集群
- 访问集群
- 使用 kubeconfig 文件配置跨集群认证
- 通过端口转发访问集群中的应用程序
- 使用service访问群集中的应用程序
- 从外部访问Kubernetes中的Pod
- Cabin - Kubernetes手机客户端
- Kubernetic - Kubernetes桌面客户端
- Kubernator - 更底层的Kubernetes UI
在 Kubernetes 中开发部署应用
- 适用于 kubernetes 的应用开发部署流程
- 迁移传统应用到 Kubernetes 中——以 Hadoop YARN 为例
- 使用 StatefulSet 部署用状态应用
最佳实践概览
在 CentOS 上部署 Kubernetes 集群
- 创建 TLS 证书和秘钥
- 创建 kubeconfig 文件
- 创建高可用 etcd 集群
- 安装 kubectl 命令行工具
- 部署 master 节点
- 安装flannel网络插件
- 部署node节点
- 安装 kubedns 插件
- 安装 dashboard插件
- 安装heapster插件
- 安装EFK插件
生产级的 Kubernetes 简化管理工具kubeadm
- 使用 kubeadm 在 Ubuntu Server 16.04 上快速构建测试集群
服务发现与负载均衡
- 安装 Traefik ingress
- 分布式负载测试
- 网络和集群性能测试
- 边缘节点配置
- 安装 Nginx ingress
- 安装配置 DNS
  - 安装配置Kube-dns
  - 安装配置CoreDNS
运维管理
- Master节点高可用
- 服务滚动升级
- 应用日志收集
- 配置最佳实践
- 集群及应用监控
- 数据持久化问题
- 管理容器的计算资源
- 集群联邦
存储管理
- GlusterFS
- GlusterD-2.0
- Ceph
- OpenEBS
  - 使用OpenEBS做持久化存储
- Rook
- NFS
  - 利用NFS动态提供Kubernetes后端存储卷
集群与应用监控
- Heapster
  - 使用Heapster获取集群和对象的metric数据
- Prometheus
  - 使用Prometheus监控kubernetes集群
  - Prometheus查询语言PromQL使用说明
- 使用Vistio监控Istio服务网格中的流量
分布式跟踪
- OpenTracing
服务编排管理
- 使用Helm管理Kubernetes应用
- 构建私有Chart仓库
持续集成与发布
- 使用Jenkins进行持续集成与发布
- 使用Drone进行持续集成与发布
更新与升级
- 手动升级Kubernetes集群
- 升级dashboard
领域应用概览
微服务架构
- 微服务中的服务发现
- 使用Java构建微服务并发布到Kubernetes平台
  - Spring Boot快速开始指南
Service Mesh 服务网格
- 企业级服务网格架构
- Istio
- Linkerd
  - Linkerd 使用指南
- Conduit
  - Condiut概览
  - 安装Conduit
- Envoy
- SOFAMesh
大数据
- Spark standalone on Kubernetes
- 运行支持Kubernetes原生调度的Spark程序
Serverless架构
- 理解Serverless
- FaaS-函数即服务
  - OpenFaaS快速入门指南
边缘计算
人工智能
开发指南
- 开发指南概览
- SIG和工作组
- 开发环境搭建
  - 本地分布式开发环境搭建（使用Vagrant和Virtualbox）
- 单元测试和集成测试
- client-go示例
- Operator
  - operator-sdk
- kubebuilder
- 高级开发指南
- 社区贡献
- Minikube
CNCF
- CNCF - 云原生计算基金会简介
- CNCF章程
- CNCF特别兴趣小组（SIG）说明
- 开源项目加入CNCF Sandbox的要求
- CNCF中的项目治理
附录说明
- Kubernetes中的应用故障排查
- Kubernetes相关资讯和情报链接
- Docker最佳实践
- 使用技巧
- 问题记录
- Kubernetes版本更新日志
- Kubernetes及云原生年度总结及展望
  - Kubernetes与云原生2017年年终总结及2018年展望
  - Kubernetes与云原生2018年年中总结及2019年展望
- CNCF年度报告解读
  - CNCF 2018年年度报告解读
- Kubernetes认证服务提供商（KCSP）说明
- 认证Kubernetes管理员（CKA）说明

文江博客开发文档 Kubernetes 中文指南文章详情

文章来源于网络收集而来，版权归原创者所有，如有侵权请及时联系！

Kubernetes集群安全性配置最佳实践

发布于 2019-09-08 09:20:23 字数 2270 浏览 956 评论 0 收藏 0

本文是对Kubernetes集群安全性管理的最佳实践。

端口

请注意管理好以下端口。

端口	进程	描述
4149/TCP	kubelet	用于查询容器监控指标的cAdvisor端口
10250/TCP	kubelet	访问节点的API端口
10255/TCP	kubelet	未认证的只读端口，允许访问节点状态
10256/TCP	kube-proxy	kube-proxy的健康检查服务端口
9099/TCP	calico-felix	calico的健康检查服务端口（如果使用calico/canal）
6443/TCP	kube-apiserver	Kubernetes API端口

Kubernetes安全扫描工具kube-bench

kube-bench可以消除大约kubernetes集群中95％的配置缺陷。通过应用CIS Kubernetes Benchmark来检查master节点、node节点及其控制平面组件，从而确保集群设置了特定安全准则。在经历特定的Kubernetes安全问题或安全增强功能之前，这应该是第一步。

API设置

授权模式和匿名认证

像kops这样的一些安装程序会为集群使用AlwaysAllow授权模式。这将授予任何经过身份验证的实体拥有完全访问集群的权限。应该使用RBAC基于角色的访问控制。检查您的kube-apiserver进程的--authorization-mode参数。有关该主题的更多信息，请访问https://kubernetes.io/docs/admin/authorization/。要强制进行身份验证，请确保通过设置--anonymous-auth = false禁用匿名身份验证。

注意这不影响Kubelet授权模式。kubelet本身公开了一个API来执行命令，通过它可以完全绕过Kubernetes API。

更多关于使用kops等工具自动安装Kubernetes集群的安全配置注意事项请参考Kubernetes Security - Best Practice Guide。

参考

收藏 0

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

列表为空，暂无数据

我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的隐私政策了解更多相关信息。单击 接受 或继续使用网站，即表示您同意使用 Cookies 和您的相关数据。

原文