-
序言
-
云原生(Cloud Native)的定义
-
云原生的设计哲学
-
Play with Kubernetes
-
快速部署一个云原生本地实验环境
-
使用Rancher在阿里云上部署Kubenretes集群
-
Kubernetes与云原生应用概览
-
云原生应用之路——从Kubernetes到Cloud Native
- 云原生编程语言
-
云原生的未来
- Kubernetes架构
- Kubernetes中的网络
-
资源对象与基本概念解析
- Pod状态与生命周期管理
- 集群资源管理
- 控制器
- 服务发现
- 身份与权限控制
- 存储
- 集群扩展
- 资源调度
-
用户指南
- 资源对象配置
- 命令使用
- 集群安全性管理
- 访问Kubernetes集群
- 在Kubernetes中开发部署应用
-
最佳实践概览
- 在CentOS上部署Kubernetes集群
- 生产级的Kubernetes简化管理工具kubeadm
- 服务发现与负载均衡
- 运维管理
- 存储管理
- 集群与应用监控
- 分布式跟踪
- 服务编排管理
- 持续集成与发布
- 更新与升级
-
领域应用概览
- 微服务架构
- Service Mesh 服务网格
- 大数据
- Serverless架构
-
边缘计算
-
人工智能
-
开发指南概览
-
SIG和工作组
- 开发环境搭建
-
单元测试和集成测试
-
client-go示例
- Operator
-
kubebuilder
-
高级开发指南
-
社区贡献
-
Minikube
-
CNCF - 云原生计算基金会简介
-
CNCF章程
-
CNCF特别兴趣小组(SIG)说明
-
开源项目加入CNCF Sandbox的要求
-
CNCF中的项目治理
-
CNCF Ambassador
-
附录说明
-
Kubernetes中的应用故障排查
-
Kubernetes相关资讯和情报链接
-
Docker最佳实践
-
使用技巧
-
问题记录
- Kubernetes版本更新日志
- Kubernetes及云原生年度总结及展望
- CNCF年度报告解读
-
Kubernetes认证服务提供商(KCSP)说明
-
认证Kubernetes管理员(CKA)说明
Kubernetes集群安全性配置最佳实践
本文是对Kubernetes集群安全性管理的最佳实践。
端口
请注意管理好以下端口。
| 端口 | 进程 | 描述 |
|---|---|---|
| 4149/TCP | kubelet | 用于查询容器监控指标的cAdvisor端口 |
| 10250/TCP | kubelet | 访问节点的API端口 |
| 10255/TCP | kubelet | 未认证的只读端口,允许访问节点状态 |
| 10256/TCP | kube-proxy | kube-proxy的健康检查服务端口 |
| 9099/TCP | calico-felix | calico的健康检查服务端口(如果使用calico/canal) |
| 6443/TCP | kube-apiserver | Kubernetes API端口 |
Kubernetes安全扫描工具kube-bench
kube-bench可以消除大约kubernetes集群中95%的配置缺陷。通过应用CIS Kubernetes Benchmark来检查master节点、node节点及其控制平面组件,从而确保集群设置了特定安全准则。在经历特定的Kubernetes安全问题或安全增强功能之前,这应该是第一步。
API设置
授权模式和匿名认证
像kops这样的一些安装程序会为集群使用AlwaysAllow授权模式。这将授予任何经过身份验证的实体拥有完全访问集群的权限。应该使用RBAC基于角色的访问控制。检查您的kube-apiserver进程的--authorization-mode参数。有关该主题的更多信息,请访问https://kubernetes.io/docs/admin/authorization/。要强制进行身份验证,请确保通过设置--anonymous-auth = false禁用匿名身份验证。
注意这不影响Kubelet授权模式。kubelet本身公开了一个API来执行命令,通过它可以完全绕过Kubernetes API。
更多关于使用kops等工具自动安装Kubernetes集群的安全配置注意事项请参考Kubernetes Security - Best Practice Guide。