gpt4 book ai didi

docker - 如何提高 Kubernetes 的安全性,尤其是 Pod 间的安全性?

转载 作者:行者123 更新时间:2023-12-02 04:40:54 25 4
gpt4 key购买 nike

TL;DR Kubernetes 允许所有容器访问整个集群上的所有其他容器,这似乎大大增加了安全风险。如何缓解?

Docker不同,通常只允许需要通信的容器之间的网络连接(通过 --link), Kubernetes 上的每个 Pod可以访问该集群上的所有其他 Pod。

这意味着对于在 Kubernetes 上运行的标准 Nginx + PHP/Python + MySQL/PostgreSQL,受损的 Nginx 将能够访问数据库。

人们过去常常在一台机器上运行所有这些,但是该机器会进行严格的定期更新(比容器更多),并且对于认真的人来说还有 SELinux/AppArmor。

可以通过让每个项目(例如,如果您有各种独立的网站)在自己的集群上运行每个项目来减轻一点风险,但这似乎很浪费。

当前Kubernetes security似乎很不完整。是否已经有一种方法可以保证生产的安全性?

最佳答案

在不久的将来,我们将在 Kubernetes 中引入网络策略控制。截至目前,它尚未集成,但一些供应商(例如 Weave、Calico)拥有可以与 Kubernetes 配合使用的策略引擎。

关于docker - 如何提高 Kubernetes 的安全性,尤其是 Pod 间的安全性?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33432401/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com