用 Trivy 扫描新操作系统的漏洞
Trivy 是个来自 Aqua Security的漏洞扫描系统,现已经被 Github Action、Harbor 等主流工具集成,能够非常方便的对镜像进行漏洞扫描,其扫描范围除了操作系统及其包管理系统安装的软件包之外,最近还加入了对 Ru...
莱卡云
借助 Shell Operator 监控集群中的镜像漏洞
在使用 Shell-Operator,让 Pod 继承节点标签一文中,展示了使用 Shell Operator 在创建工作负载时从对应节点拷贝指定标签的方法。Shell Operator 还有个功能就是生成 Prometheus Metri...
在 Kubernetes 中防范 CVS-2016-2183
是的我又被安全团队抓到了,这次是 CVE-2016-2183 漏洞 文章来源于互联网:在 Kubernetes 中防范 CVS-2016-2183
在 Kubernetes 环境中检查镜像签名的一种方法
Kubernetes 的供应链安全需求中,有一个重要的镜像签署和校验的环节,这个环节可以使用 OPA 结合 Notary 的方式来完成。最近 Linux基金会宣布免费 sigstore 签名服务,以确认软件的来源和真实性,在项目网站闲逛时,...
在 Kubernetes 上运行“别人的”应用
在帮助企业进行基于私有环境的云原生转型的过程中,帮客户把存量应用迁移到 Kubenrnetes 上,是个常规任务。通常说来,在解决了初步的技术可行性之后,接下来要解决的就是资源分配的问题,我们已经讨论过,在近乎同样的资源总量情况下,少量大节...
介绍一个小工具:KubeNurse——集群网络监控
地址 Kubenurse:https://github.com/postfinance/kubenurse 简介 在 Kubernetes 集群运行中,一个常见故障就是集群内网络故障,经常会因为临时策略变更或者网络抖动导致一些古怪问题,而实...
Kubernetes 策略引擎对比:OPA/Gatekeeper vs Kyverno
Kubernetes 的 Pod Security Policy(PSP)即将被淘汰和移除,所以需要找到一个替代方案来填补这个即将出现的空白。目前看来,Kubernetes 自身并没有准备相应的替代方案,因此需要在 Kubernetes 之...
介绍一个小工具:网络策略可视化编辑器
引子 跳过本节不影响阅读 既然是牛年第一篇,总要写点废话起个头。另外写小工具系列经常面对的一个难题就是——怎样凑够 300 字的原创门槛。 2020 年有大半年我都在唠叨云原生安全的事情,现在的情况按照我的理解,有点像 2000 年附近的互...
写给小白的 kubectl 入门
前言 意外又看到不少正在学 Kubernetes 新手。想想本人写过各种自己懂或不懂、信或不信的原理、机制、方法和工具等等各种东西,唯独没写过 kubectl,其实这东西也是值得一写的——比如说去年我才从一线同学的操作里学会用 -A 代替 ...
我就要在容器里写文件!
在生产环境上遇到过一个讨厌的事情,有业务应用在容器中写入大量日志,导致磁盘空间爆满,引发了大面积驱逐。这种情况还有个比较烦心的事情就是无从监控,因此也不能用告警解决。 docker ps --size 可以凑合试一下。 虽说提倡使用标准输出...