莱卡云的文章

之前连续写了几篇 Shell Operator 的东西，后来又写了一篇 cosign 的介绍，细心的读者可能会猜到，最终我的目的就是会用 Shell Operator 结合 cosign 来检查镜像的签名，以此保障镜像的完整性——是的，这个...

赞(0)莱卡云2022-11-23AI转载 阅读(339)

在 Kubernetes 中，我们通常会使用 Secret 对象来保存密码、证书等机密内容，然而 kubeadm 缺省部署的情况下，Secret 内容是用明文方式存储在 ETCD 数据库中的。能够轻松的用 etcdctl 工具获取到 Sec...

赞(0)莱卡云2022-11-23AI转载 阅读(310)

Trivy 是个来自 Aqua Security的漏洞扫描系统，现已经被 Github Action、Harbor 等主流工具集成，能够非常方便的对镜像进行漏洞扫描，其扫描范围除了操作系统及其包管理系统安装的软件包之外，最近还加入了对 Ru...

赞(0)莱卡云2022-11-23AI转载 阅读(417)

在使用 Shell-Operator，让 Pod 继承节点标签一文中，展示了使用 Shell Operator 在创建工作负载时从对应节点拷贝指定标签的方法。Shell Operator 还有个功能就是生成 Prometheus Metri...

赞(0)莱卡云2022-11-23AI转载 阅读(373)

是的我又被安全团队抓到了，这次是 CVE-2016-2183 漏洞 文章来源于互联网:在 Kubernetes 中防范 CVS-2016-2183

赞(0)莱卡云2022-11-23AI转载 阅读(274)

Kubernetes 的供应链安全需求中，有一个重要的镜像签署和校验的环节，这个环节可以使用 OPA 结合 Notary 的方式来完成。最近 Linux基金会宣布免费 sigstore 签名服务，以确认软件的来源和真实性，在项目网站闲逛时，...

赞(0)莱卡云2022-11-23AI转载 阅读(298)

在帮助企业进行基于私有环境的云原生转型的过程中，帮客户把存量应用迁移到 Kubenrnetes 上，是个常规任务。通常说来，在解决了初步的技术可行性之后，接下来要解决的就是资源分配的问题，我们已经讨论过，在近乎同样的资源总量情况下，少量大节...

赞(0)莱卡云2022-11-23AI转载 阅读(283)

地址 Kubenurse：https://github.com/postfinance/kubenurse 简介 在 Kubernetes 集群运行中，一个常见故障就是集群内网络故障，经常会因为临时策略变更或者网络抖动导致一些古怪问题，而实...

赞(0)莱卡云2022-11-23AI转载 阅读(283)

Kubernetes 的 Pod Security Policy（PSP）即将被淘汰和移除，所以需要找到一个替代方案来填补这个即将出现的空白。目前看来，Kubernetes 自身并没有准备相应的替代方案，因此需要在 Kubernetes 之...

赞(0)莱卡云2022-11-23AI转载 阅读(363)

引子 跳过本节不影响阅读 既然是牛年第一篇，总要写点废话起个头。另外写小工具系列经常面对的一个难题就是——怎样凑够 300 字的原创门槛。 2020 年有大半年我都在唠叨云原生安全的事情，现在的情况按照我的理解，有点像 2000 年附近的互...

赞(0)莱卡云2022-11-23AI转载 阅读(351)