You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

https://www.openshift.com/blog/12-kubernetes-configuration-best-practices

1. Kubernetes를 최신 버전으로 업데이트

2. 포드 보안 정책을 사용하여 위험한 컨테이너 / 포드 사용 방지

포드 보안 정책은 다음과 같은 몇 가지 중요한 보안 사용 사례를 해결합니다.

  • 권한있는 플래그로 컨테이너 실행 방지-이 유형의 컨테이너는 기본 호스트에서 사용할 수있는 대부분의 기능을 갖습니다. 이 플래그는 또한 CAP DROP 또는 CAP ADD를 사용하여 설정 한 모든 규칙을 덮어 씁니다.
  • 호스트 PID / IPC 네임 스페이스, 네트워킹 및 포트 공유 방지-이 단계는 Docker 컨테이너와 기본 호스트간에 적절한 격리를 보장합니다.
  • 볼륨 유형 사용 제한-예를 들어 쓰기 가능한 hostPath 디렉토리 볼륨은 컨테이너가 외부의 호스트 파일 시스템을 통과 할 수있는 방식으로 파일 시스템에 쓸 수 있도록 허용 하므로 반드시 사용해야합니다. pathPrefix readOnly: true 
  • 호스트 파일 시스템 사용 제한
  • ReadOnlyRootFilesystem을 통해 루트 파일 시스템에 대한 읽기 전용 적용
  • 루트 권한으로의 권한 상승 방지
  • 루트 권한이있는 컨테이너 거부
  • 최소 권한 원칙을 준수하여 Linux 기능을 최소한으로 제한

3. Kubernetes 네임 스페이스를 사용하여 Kubernetes 리소스를 적절하게 분리

4. 네트워크 정책을 사용하여 컨테이너 및 포드 통신을 분할하고 제한합니다.

5. ImagePolicyWebhook을 사용하여 이미지 출처를 관리하는 정책을 만듭니다.

6. Kubernetes API 서버를 안전하게 구성

7. kube-scheduler를 안전하게 구성

8. kube-controller-manager를 안전하게 구성

9. 마스터 노드에서 구성 파일 보안

10. 안전하게 etcd 구성

11. Kubelet을 안전하게 구성

12. 작업자 노드 구성 파일 보안

  • No labels