【版權(quán)聲明】本文部分內(nèi)容源于互聯(lián)網(wǎng)，不代表YINGSOO觀點(diǎn)！若有咨詢“如何創(chuàng)建Kubernetes安全策略”等有關(guān)服務(wù)器、云主機(jī)租用、托管、配置、價(jià)格問題，請?jiān)诰€咨詢YINGSOO客服，享受1v1貼心服務(wù)！

　　【推薦主機(jī)】臺(tái)灣100M服務(wù)器 | 臺(tái)灣200M服務(wù)器 | 服務(wù)器IPLC國際專線

　　【產(chǎn)品問答】德國服務(wù)器該如何選擇？以下六點(diǎn)建議也許能幫到你

　　如果您希望將Kubernetes的安全性提高到一個(gè)新的級(jí)別，則需要開始使用pod安全策略。

　　Kubernetes是一個(gè)功能強(qiáng)大的容器管理工具。如果您使用容器足夠長的時(shí)間，您肯定知道安全性在應(yīng)用程序和服務(wù)的部署中扮演重要角色。如果不鎖定這些容器，可能會(huì)對您的網(wǎng)絡(luò)造成嚴(yán)重破壞。

　　那么，你能做什么呢？對于Kubernetes，您應(yīng)該考慮建立pod安全策略。

　　1、什么是pod？

　　如果您不熟悉Kubernetes，則可能不知道什么是Pod。簡而言之，Kubernetes pod是構(gòu)成容器的一系列過程的集合，例如：

　　儲(chǔ)存資源、唯一的網(wǎng)絡(luò)IP地址、控制容器應(yīng)如何運(yùn)行的選項(xiàng)。

　　換句話說，pod是一個(gè)部署單元——單個(gè)容器或多個(gè)容器一起工作。

　　現(xiàn)在您了解了什么是Pod，下面讓我們看看如何制定安全策略。

　　2、什么是Pod安全策略？

　　Kubernetes Pod安全策略是控制Pod規(guī)范安全性的資源。使用PodSecurityPolicy對象定義，您可以控制以下內(nèi)容：

　　運(yùn)行特權(quán)容器的能力

　　特權(quán)升級(jí)

　　訪問卷類型

　　訪問主機(jī)文件系統(tǒng)

　　主機(jī)網(wǎng)絡(luò)的使用

　　但是如何定義策略呢？與Kubernetes中的幾乎所有內(nèi)容一樣，這是在YAML文件中定義的。

　　3、如何創(chuàng)建Kubernetes Pod安全策略

　　讓我們創(chuàng)建一個(gè)Kubernetes Pod安全策略，該策略可以防止創(chuàng)建特權(quán)Pod并控制對卷的訪問。首先，我們必須創(chuàng)建YAML文件。在終端窗口中，發(fā)出命令：

　　nano psp.yaml

　　在該文件中，粘貼以下內(nèi)容：

　　apiVersion: policy/v1beta1

　　kind: PodSecurityPolicy

　　metadata:

　　name: psp

　　spec:

　　privileged: false

　　seLinux:

　　rule: RunAsAny

　　supplementalGroups:

　　rule: RunAsAny

　　runAsUser:

　　rule: RunAsAny

　　fsGroup:

　　rule: RunAsAny

　　volumes:

　　- '*'

　　在該文件中，我們使用以下代碼來阻止創(chuàng)建特權(quán)pod:

　　privileged: false

　　我們還允許以下內(nèi)容（通過RunAsAny規(guī)則）：

　　SeLinux -允許任何用戶在豆莢內(nèi)控制SeLinux

　　Linux groups - 補(bǔ)充組

　　runAsUse- 允許用戶以不同的用戶名運(yùn)行容器

　　猜你喜歡：美國站群服務(wù)器去首頁注冊有禮！YINGSOO推出Phala挖礦服務(wù)器、Chia奇亞農(nóng)場服務(wù)器、Swarm物理節(jié)點(diǎn)服務(wù)器、Swarm母雞服務(wù)器、Swarm云節(jié)點(diǎn)服務(wù)器、國內(nèi)礦機(jī)服務(wù)器海外托管、《Phala PHA挖礦資料大全》,《swarm bzz挖礦資料大全》,Swarm Bee節(jié)點(diǎn)租用請咨詢YINGSOO客服！官網(wǎng)maisonbaluchon.cn

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。