用 SPIRE 为 Pod 提供身份
开始之前 SPIFFE 是一个认证框架,能为多种节点和工作负载类型提供证实能力,解决“我是我”的问题,前面文章演示过用 SPIRE 给类 Unix 进程提供身份的方法,今天这篇就试试给 Pod 提供身份。 这次实验会在前面的基础之上,在 K...
莱卡云
SPIFFE/SPIRE 从入门到入门
前言 大概很多人和我一样,是从 Istio 那里听说 SPIFFE(读音 Spiffy [ˈspɪfi]) 的,Istio 中用 SPIFFE 方式为微服务提供身份。SPIFFE 全称为 Secure Production Identity...
CIS 软件供应链安全指南
概述 Argon(现在是 Aqua Security 的一部分)曾经联系 CIS(Center for Internete Security),建议为软件供应链安全开发一种 CIS 基线。多年以来,CIS 开发并发布了很多安全配置指南,但是...
在 Istio 中合并监控指标
前些天阅读 Istio 文档的时候发现个语焉不详的东西:Metrics Merging,原文如下: This option is enabled by default but can be disabled by passing –set ...
Prometheus 和 Pod 标签
原文:Use Prometheus Vector Matching to get Kubernetes Utilization across any Pod Label 作者:Johannes Ziemke 注:这里实际上涉及到两种标签,一...
Kubernetes 中的用户和工作负载身份
原文:User and workload identities in Kubernetes 作者:Arthur Chiao 本文中我们会试着解释,在 Kubernetes API Server 上如何对用户和工作负载进行认证的问题。 Kub...
介绍一个小工具:Inspektor Gadget
各位好,今天 6 月 26 号,吃了么您呐。 例行查看 krew index 的时候,发现有个新插件 gadgit,翻翻来历,居然是 Kinvolk 的作品,公司不太出名,印象里最早做服务网格 Benchmark 的就是他。插件功能介绍很简...
介绍一个小工具:Security Profiles Operator
在云原生安全方面,Kubernetes 在不同维度提供了很多的不同内容,例如 RBAC、Networkpolicy、SecurityContext 等等,种种措施中,像我这样基础不牢的 YAML 工程师最头大的可能就要数 SecurityC...
Kubernetes 策略管理
原文:Kubernetes Policy Management Whitepaper 本文试图清晰地阐述 Kubernetes 策略管理的必要性以及在工作负载安全和自动化方面的作用。另外还会讲述 Kubernetes 策略的适用场景以及实现...
Kyverno 和 Gatekeeper 的简单对比
引言 在生产环境中应用 Kubernetes 时,出于安全、合规等管控目的,经常需要对工作负载进行审计、校验以及变更,例如下列场景: 为了便于在监控和日志中识别特定应用,我们希望业务应用的 Pod 具备合适的标签结构,标识本 Pod 的业务...