Kubernetes安全概述[编辑 | 编辑源代码]

Kubernetes安全是确保Kubernetes集群及其工作负载免受未授权访问、数据泄露和其他威胁的关键实践。它涵盖从集群配置到应用程序部署的多个层面，包括认证、授权、网络策略、机密管理、运行时安全等。本文将为初学者和高级用户提供全面的Kubernetes安全基础知识，结合实际案例和代码示例。

核心概念[编辑 | 编辑源代码]

Kubernetes安全的核心目标是实现“最小权限原则”（Principle of Least Privilege, PoLP），即每个组件或用户仅能访问其完成任务所需的资源。以下是主要安全领域：

1. 认证（Authentication）[编辑 | 编辑源代码]

确认用户或服务的身份，支持多种方式：

• 静态令牌文件
• X.509客户端证书
• OpenID Connect（OIDC）
• Webhook令牌

示例：查看当前集群用户

kubectl config view --minify --output 'jsonpath={..user}'

2. 授权（Authorization）[编辑 | 编辑源代码]

控制已认证用户的权限，常用模式：

• RBAC（基于角色的访问控制）
• ABAC（基于属性的访问控制）
• Node授权（限制kubelet权限）

3. 机密管理（Secrets Management）[编辑 | 编辑源代码]

敏感信息（如密码、API密钥）的安全存储与访问。

示例：创建Secret

apiVersion: v1
kind: Secret
metadata:
  name: db-credentials
type: Opaque
data:
  username: YWRtaW4=  # base64编码的"admin"
  password: MWYyZDFlMmU2N2Rm

4. 网络策略（Network Policies）[编辑 | 编辑源代码]

通过PodSelector和规则定义Pod间通信规则。

示例：限制default命名空间的Pod仅允许内部通信

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

安全架构图[编辑 | 编辑源代码]

实际案例[编辑 | 编辑源代码]

场景： 开发团队需要访问生产集群的日志，但禁止修改资源。

解决方案： 1. 创建只读角色：

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: production
  name: log-reader
rules:
- apiGroups: [""]
  resources: ["pods/log"]
  verbs: ["get", "list"]

2. 绑定角色给用户：

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-logs
  namespace: production
subjects:
- kind: User
  name: "developer@example.com"
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: log-reader
  apiGroup: rbac.authorization.k8s.io

进阶安全措施[编辑 | 编辑源代码]

Pod安全标准[编辑 | 编辑源代码]

通过Pod Security Admission（PSA）定义三个级别：

• Privileged（无限制）
• Baseline（最小限制）
• Restricted（严格限制）

示例：在命名空间启用Restricted策略

apiVersion: v1
kind: Namespace
metadata:
  name: secure-app
  labels:
    pod-security.kubernetes.io/enforce: restricted

镜像安全[编辑 | 编辑源代码]

• 使用签名镜像（Cosign）
• 扫描漏洞（Trivy、Clair）
• 禁止latest标签

数学表达镜像哈希验证： ${\displaystyle \text{Verify}(digest,sig,pubKey)=\{\begin{array}{ll}\text{true}& \text{if }sig\text{ valid for }digest\\ \text{false}& \text{otherwise}\end{array}}$

最佳实践总结[编辑 | 编辑源代码]

1. 定期轮换证书和令牌
2. 启用审计日志（--audit-log-path）
3. 使用NetworkPolicy实现零信任网络
4. 限制容器权限（allowPrivilegeEscalation: false）
5. 定期更新Kubernetes版本

通过以上措施，可以显著提升Kubernetes集群的安全性。安全是一个持续过程，需要结合监控和定期评估来应对新威胁。