伸手党的容器镜像加固流程
人在江湖飘,哪能不挨刀 说了好几期 CIS 之类的运行时安全问题,K8s 在运行过程中,还有个常见的安全威胁就是镜像漏洞,不少同学都有在实施过程中因为镜像漏洞问题被吊打的经验,今天就结合个人经验,说说镜像漏洞修复的一般流程。 这里主要指的是...
人在江湖飘,哪能不挨刀 说了好几期 CIS 之类的运行时安全问题,K8s 在运行过程中,还有个常见的安全威胁就是镜像漏洞,不少同学都有在实施过程中因为镜像漏洞问题被吊打的经验,今天就结合个人经验,说说镜像漏洞修复的一般流程。 这里主要指的是...
原文:Kubernetes: Make your services faster by removing CPU limits 作者:ERIC KHUN 我们(Buffer)早在 2016 年就开始使用 Kubernetes 了。我们使用 ...
原文:Ready-to-use commands and tips for kubectl 作者:Flant staff Kubectl 是 Kubernetes 最重要的命令行工具。在 Flant,我们会在 Wiki 和 Slack 上相...
以 12 要素为代表的微服务标准,很好地给微服务的特征做出了指导。然而具体到以容器形式在 Kubernetes 上运行的无状态业务应用上,这个标准是有些高层的——它看重的是方法和架构。如果仅从外在视角来对一个“顺眼”的 Kubernetes...
Gatekeeper 是基于 OPA(Open Policy Agent) 的一个 Kubernetes 策略解决方案。在之前的文章中说过,在 PSP/RBAC 等内置方案之外,在 Kubernetes 中还可以通过策略来实现一些额外的管理...
Kubernetes 中内置了 RBAC、SecurityContext、PodSecurityPolicy 几个对象,用于为集群的运维和运营工作提供安全支持,那么为什么还要出现 Gatekeeper、Kyverno、Polaris 等策略...
原文:Enforcing policies and governance for Kubernetes workloads 作者:Amit Saha 本文将会讲述使用 conftest 这样的静态工具以及 Gatekeeper 之类的集群内...
如果寿司店老板说,有一种人叫寿司人,寿司人的一切都是为了吃寿司,寿司人比别的人都厉害,你肯定会嗤之以鼻;云厂商提出了云原生概念,倒是拥趸甚多——这是因为云比寿司好吃多了,它提供的好处,足以让人铤而走险,削减脑袋挤上云计算的车,这也就是业务上...
Kubernetes 的安全问题,被提及比较多的一般包括几个点: Docker & Kubernetes 参数加固 RBAC Root 镜像 特权容器 众所周知,很多安全问题是爆发在内部的,因此有了零信任的说法。内网能够比较容易地接...
Kubernetes 中的账号和认证,除了基础的双向证书认证之外,还有 OIDC 等方式的第三方集成能力,这里暂且不提。这里主要想谈谈授权和审计方面的内容。 很多 Kubernetes 集群,都是一个 cluster-admin 走天下的,...