关于 KubeArmor 的闲言碎语
早上看到了一篇关于 KubeArmor 的简介,觉得还挺新鲜的,就坐下看了一下介绍,并没有进行实际的测试,把它和我之前比较熟悉的一些类似技术做一点比较。 上图是官方提供的架构说明,它依赖于 AppArmor、SeLinux(下个版本)以及 ...
莱卡云
《我曾目睹的微服务灾难》的读后感
2011-2012 年,我所在的团队正在给某国字号企业交付一个集团级的企业应用,这个应用覆盖了除 IaaS 之外的整个上层,层级和宽度上来说都算得上是个大家伙了。在当时,这个项目有几个新鲜的点,例如硬件全部采用通用的 x86 刀片服务器,全...
做云自缚——应用上云之路
今天扯个闲篇,说说应用上云的事情。 最近这几年,一直都在围着“应用上云”这四个字转悠,看到很多成功的和不太成功的应用上云活动,是的——一个失败的都没有,所以云原生真是厉害,对吧? 应用上云成功了会怎么样呢?一般成功案例会共享的几个好处: 应...
在 Kubernetes 中检查镜像签名
之前连续写了几篇 Shell Operator 的东西,后来又写了一篇 cosign 的介绍,细心的读者可能会猜到,最终我的目的就是会用 Shell Operator 结合 cosign 来检查镜像的签名,以此保障镜像的完整性——是的,这个...
在 Kubernetes 读取 Vault 中的机密信息
在 Kubernetes 中,我们通常会使用 Secret 对象来保存密码、证书等机密内容,然而 kubeadm 缺省部署的情况下,Secret 内容是用明文方式存储在 ETCD 数据库中的。能够轻松的用 etcdctl 工具获取到 Sec...
用 Trivy 扫描新操作系统的漏洞
Trivy 是个来自 Aqua Security的漏洞扫描系统,现已经被 Github Action、Harbor 等主流工具集成,能够非常方便的对镜像进行漏洞扫描,其扫描范围除了操作系统及其包管理系统安装的软件包之外,最近还加入了对 Ru...
借助 Shell Operator 监控集群中的镜像漏洞
在使用 Shell-Operator,让 Pod 继承节点标签一文中,展示了使用 Shell Operator 在创建工作负载时从对应节点拷贝指定标签的方法。Shell Operator 还有个功能就是生成 Prometheus Metri...
在 Kubernetes 中防范 CVS-2016-2183
是的我又被安全团队抓到了,这次是 CVE-2016-2183 漏洞 文章来源于互联网:在 Kubernetes 中防范 CVS-2016-2183
在 Kubernetes 环境中检查镜像签名的一种方法
Kubernetes 的供应链安全需求中,有一个重要的镜像签署和校验的环节,这个环节可以使用 OPA 结合 Notary 的方式来完成。最近 Linux基金会宣布免费 sigstore 签名服务,以确认软件的来源和真实性,在项目网站闲逛时,...
在 Kubernetes 上运行“别人的”应用
在帮助企业进行基于私有环境的云原生转型的过程中,帮客户把存量应用迁移到 Kubenrnetes 上,是个常规任务。通常说来,在解决了初步的技术可行性之后,接下来要解决的就是资源分配的问题,我们已经讨论过,在近乎同样的资源总量情况下,少量大节...