编辑“︁Kubernetes安全概述”︁

= Kubernetes安全概述 =

'''Kubernetes安全'''是确保Kubernetes集群及其工作负载免受未授权访问、数据泄露和其他威胁的关键实践。它涵盖从集群配置到应用程序部署的多个层面，包括认证、授权、网络策略、机密管理、运行时安全等。本文将为初学者和高级用户提供全面的Kubernetes安全基础知识，结合实际案例和代码示例。

== 核心概念 ==

Kubernetes安全的核心目标是实现“'''最小权限原则'''”（Principle of Least Privilege, PoLP），即每个组件或用户仅能访问其完成任务所需的资源。以下是主要安全领域：

=== 1. 认证（Authentication） ===
确认用户或服务的身份，支持多种方式：
* 静态令牌文件
* X.509客户端证书
* OpenID Connect（OIDC）
* Webhook令牌

示例：查看当前集群用户
<syntaxhighlight lang="bash">
kubectl config view --minify --output 'jsonpath={..user}'
</syntaxhighlight>

=== 2. 授权（Authorization） ===
控制已认证用户的权限，常用模式：
* '''RBAC'''（基于角色的访问控制）
* '''ABAC'''（基于属性的访问控制）
* Node授权（限制kubelet权限）

=== 3. 机密管理（Secrets Management） ===
敏感信息（如密码、API密钥）的安全存储与访问。

示例：创建Secret
<syntaxhighlight lang="yaml">
apiVersion: v1
kind: Secret
metadata:
  name: db-credentials
type: Opaque
data:
  username: YWRtaW4=  # base64编码的"admin"
  password: MWYyZDFlMmU2N2Rm
</syntaxhighlight>

=== 4. 网络策略（Network Policies） ===
通过PodSelector和规则定义Pod间通信规则。

示例：限制default命名空间的Pod仅允许内部通信
<syntaxhighlight lang="yaml">
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress
</syntaxhighlight>

== 安全架构图 ==
<mermaid>
graph TD
    A[客户端] -->|认证| B(API Server)
    B -->|RBAC| C[授权]
    C --> D{允许?}
    D -->|是| E[执行请求]
    D -->|否| F[拒绝]
    E --> G[审计日志]
</mermaid>

== 实际案例 ==

'''场景：''' 开发团队需要访问生产集群的日志，但禁止修改资源。

'''解决方案：'''
1. 创建只读角色：
<syntaxhighlight lang="yaml">
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: production
  name: log-reader
rules:
- apiGroups: [""]
  resources: ["pods/log"]
  verbs: ["get", "list"]
</syntaxhighlight>

2. 绑定角色给用户：
<syntaxhighlight lang="yaml">
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-logs
  namespace: production
subjects:
- kind: User
  name: "developer@example.com"
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: log-reader
  apiGroup: rbac.authorization.k8s.io
</syntaxhighlight>

== 进阶安全措施 ==

=== Pod安全标准 ===
通过'''Pod Security Admission'''（PSA）定义三个级别：
* Privileged（无限制）
* Baseline（最小限制）
* Restricted（严格限制）

示例：在命名空间启用Restricted策略
<syntaxhighlight lang="yaml">
apiVersion: v1
kind: Namespace
metadata:
  name: secure-app
  labels:
    pod-security.kubernetes.io/enforce: restricted
</syntaxhighlight>

=== 镜像安全 ===
* 使用签名镜像（Cosign）
* 扫描漏洞（Trivy、Clair）
* 禁止latest标签

数学表达镜像哈希验证：
<math>
\text{Verify}(digest, sig, pubKey) = \begin{cases} 
\text{true} & \text{if } sig \text{ valid for } digest \\
\text{false} & \text{otherwise}
\end{cases}
</math>

== 最佳实践总结 ==
# 定期轮换证书和令牌
# 启用审计日志（--audit-log-path）
# 使用NetworkPolicy实现零信任网络
# 限制容器权限（allowPrivilegeEscalation: false）
# 定期更新Kubernetes版本

通过以上措施，可以显著提升Kubernetes集群的安全性。安全是一个持续过程，需要结合监控和定期评估来应对新威胁。

[[Category:集成部署]]
[[Category:Kubernetes]]
[[Category:Kubernetes安全]]