tnblog
首页
视频
资源
登录

Kubernetes 安全检测Kube-bench

7803人阅读 2022/3/27 21:30 总访问:3657046 评论:0 收藏:0 手机
分类: 容器编排

Kubernetes 安全检测Kube-bench

简介


Kube-bench可以检查Kubernetes是否根据CIS Kubernetes基准中定义的安全最佳实践进行部署。

安装


运行如下命令安装Kube-bench

  1. docker run --rm -v `pwd`:/host aquasec/kube-bench:latest install
  2. ./kube-bench

更多安装方式请参考:https://github.com/aquasecurity/kube-bench/blob/main/docs/running.md

检查


检查对k8s控制节点进行压测

  1. ./kube-bench master


检查完成后呢,我们发现它有10个问题。

解决问题


我们以设置--kubelet-certificate-authority为例。


我们通过设置证书授权来改善kubernetes.

  1. # 修改kube-apiserver.yaml
  2. vim /etc/kubernetes/manifests/kube-apiserver.yaml
  3. # 添加证书授权
  4. - --kubelet-certificate-authority=/etc/kubernetes/pki/ca.crt


随后重启kubelet,并再次检查,我们就会发现这个问题以及解决了。

  1. systemctl daemon-reload
  2. systemctl restart kubelet.service
  3. ./kube-bench master


通过它的一些问题描述来一点点改善我们的集群环境。

常见问题

问题一


授权模式不应设置为AlwaysAllow,而应包括Node和RBAC。
实例地址ip设置无效。
不安全端口失败参数应该设置为0。


解决方法

  1. vim /etc/kubernetes/manifests/kube-apiserver.yaml
  2. # - --authorization-mode=AlwaysAllow
  3. - --authorization-mode=Node,RBAC
  4. # - --insecure-bind-address=0.0.0.0
  5. - --insecure-port=0

问题二


确保anonymous-auth参数设置为false
确保--authorization-mode参数不能设置为AlwaysAllow
尽可能的使用webhook authn或authz

  1. vim /var/lib/kubelet/config.yaml # master和node都需要改配置
  2. anonymous:
  3.   enabled: false
  4. authorization:
  5.   mode: Webhook
  1. systemctl daemon-reload
  2. systemctl restart kubelet.service

问题三


确保etcd的--client-cert-auth失败设置为true

  1. vim /etc/kubernetes/manifests/etcd.yaml
  2. - --client-cert-auth=true
  5. systemctl daemon-reload
  6. systemctl restart kubelet.service

欢迎加群讨论技术,1群:677373950(满了,可以加,但通过不了),2群:656732739

评价

阿里云 Kubernetes
https://help.aliyun.com/document_detail/86759.html 可以有三种计费方式https://ecs-buy.aliyun.com/wizard?spm=5176.13...

Kubernetes Job讲解
kubernetes Job讲解[TOC] 需求来源Job 背景问题我们可以通过Pod来直接运行任务进程吗?这样做将会产生以下几种问题:1. 我...

Kubernetes DaemonSet讲解
Kubernetes DaemonSet讲解[TOC] 需求来源背景问题我们可以让每个集群内的节点都运行一个相同的Pod吗?如果这样做,以下的...

Kubernetes Pod中断预算【PDB】
Kubernetes Pod中断预算【PDB】[TOC] 尽管Deployment或ReplicaSet一类的控制器能够确保相应Pod对象的副本数量不断逼近期...

Kubernetes Velero 备份的运用
Velero 的运用[TOC] Velero简介Velero是一个开源工具,可以安全地备份,恢复和迁移Kubernetes集群和持久卷。它既可以在本...

Kubernetes 应用配置管理
Kubernetes 应用配置管理[TOC] 需求来源背景问题除了依托容器镜像来定义运行的Container,Pod还需要解决如下问题:1. 不可...

Kubernetes 应用存储和持久化数据卷
Kubernetes 应用配置管理[TOC] Volumes介绍Pod Volumes1. 如果一个Pod中某一个容器异常退出,被kubelet拉起如何保证之前的...

Kubernetes 应用存储和持久化数据卷:存储快照与拓扑调度
Kubernetes 应用存储和持久化数据卷:存储快照与拓扑调度[TOC] 基本知识存储快照产生背景1. 如何保证重要数据在误操作之后...

Kubernetes网络(IPVLAN与MACVLAN)
Kubernetes网络模型[TOC] 三种网络模型 在k8s中一般常见的网络模型支持三种,虚拟网桥、多路复用和硬件交换。 虚拟网...

Kubernetes IP Address
Kubernetes IP Address[TOC] IP AddressIP地址是在计算机网络中被用来唯一标识设备的一组数字。IPv4地址由32位二进制数值...

Dapr 官方教程第二章(Hello World Kubernetes)
Dapr 官方教程第二章(Hello World Kubernetes)[TOC] 本教程将帮助您在 Kubernetes 集群中使用 Dapr。您将从Hello World部...

Kubernetes 搭建RabbitMq集群环境
Kubernetes 搭建RabbitMq集群环境[TOC] 由于Kubectl RabbitMQ 插件在官方是基于krew进行安装的所以我们首先需要安装krew插...

Kubernetes 删除命名空间
Kubernetes 删除命名空间[TOC] 可以直接通过如下命令删除k8s中命名空间下的所有资源。kubectl delete ns [namespace] ...

Kubernetes top之安装metrics-server
Kubernetes top之安装metrics-server[TOC] 一般我们需要知道kubernetes的pod与node的cpu与内存使用情况时,我们可以通过ku...

Kubernetes ExternalName Service
Kubernetes ExternalName Service[TOC] ExternalName 的服务与普通服务的区别在于:将服务映射到 DNS 名称。如下图所示: ...

Kubernetes 自定义Endpoint资源
Kubernetes 自定义Endpoint资源[TOC] 当pod需要服务发布出去的时候中间所关联的还有一个Endpoint这个资源,它能确定服务关...
这一世以无限游戏为使命!
博主信息
排名
2
文章
657
粉丝
44
评论
93
文章类别
最新文章
最新评价
docker中Sware集群与service
尘叶心繁 : 想学呀!我教你呀
一个bug让程序员走上法庭 索赔金额达400亿日元
叼着奶瓶逛酒吧 : 所以说做程序员也要懂点法律知识
.net core 塑形资源
剑轩 : 收藏收藏
映射AutoMapper
剑轩 : 好是好,这个对效率影响大不大哇,效率高不高
ASP.NET Core 服务注册生命周期
剑轩 : http://www.tnblog.net/aojiancc2/article/details/167
关于我们
ICP备案 :渝ICP备18016597号-1
网站信息:2018-2025TNBLOG.NET
技术交流:群号656732739
联系我们:contact@tnblog.net
公网安备:50010702506256
欢迎加群
欢迎加群交流技术