针对 Kubernetes 工作负载的策略工具
原文:Enforcing policies and governance for Kubernetes workloads 作者:Amit Saha 本文将会讲述使用 conftest 这样的静态工具以及 Gatekeeper 之类的集群内...
AI转载 第28页
莱卡云Kubernetes 为什么需要策略支持
Kubernetes 中内置了 RBAC、SecurityContext、PodSecurityPolicy 几个对象,用于为集群的运维和运营工作提供安全支持,那么为什么还要出现 Gatekeeper、Kyverno、Polaris 等策略...
OPA Gatekeeper 几条入门策略
Gatekeeper 是基于 OPA(Open Policy Agent) 的一个 Kubernetes 策略解决方案。在之前的文章中说过,在 PSP/RBAC 等内置方案之外,在 Kubernetes 中还可以通过策略来实现一些额外的管理...
Kubernetes 无状态应用的一般特征
以 12 要素为代表的微服务标准,很好地给微服务的特征做出了指导。然而具体到以容器形式在 Kubernetes 上运行的无状态业务应用上,这个标准是有些高层的——它看重的是方法和架构。如果仅从外在视角来对一个“顺眼”的 Kubernetes...
Kubernetes 中 HostPath 的风险和防范
Kubernetes 的安全问题,被提及比较多的一般包括几个点: Docker & Kubernetes 参数加固 RBAC Root 镜像 特权容器 众所周知,很多安全问题是爆发在内部的,因此有了零信任的说法。内网能够比较容易地接...
在 Kubernetes 上用 Krustlet 调度 WASM
前言 坊间有两个传言: Kubernetes 正在成长为一个统一调度器 WASM 如果早点成气候,就没 Docker 什么事了 Krustlet 往前踏了一小步:他的官方描述是“Kubernetes Kubelet in Rust for ...
镜像是怎样炼成的
作者:Nicola Apicella 原文:How are docker images built? A look into the Linux overlay file-systems and the OCI specification ...
Kubernetes 中的 Pod 安全策略
很多人分不清 SecurityContext 和 PodSecurityPolicy 这两个关键字的差别,其实很简单: SecurityContext 是 Pod 中的一个字段,而 PSP 是一个独立的资源类型。 SecurityConte...
Kubernetes 的授权和审计
Kubernetes 中的账号和认证,除了基础的双向证书认证之外,还有 OIDC 等方式的第三方集成能力,这里暂且不提。这里主要想谈谈授权和审计方面的内容。 很多 Kubernetes 集群,都是一个 cluster-admin 走天下的,...
自己的 Kubernetes 控制器(2)——用 Java 开发
前面文章中,我们大概描述了开发自定义 Kubernetes 控制器的基础内容。其中我们提到,只要能够使用 HTTP/JSON 就可以满足开发需求。本文中就言归正传开始开发。 开发使用的技术栈可以 Python、NodeJS 或者 Ruby。...