在容器云平台授权管理部分还是和传统应用一样,一定授权秉承最小权限原则,对于用户的权限进行最小化设置,并且对于用户的权限进行周期性review、及时清理比不必要的用户和权限定义 。
小提示:关于如何实为集群服务设置RBAC策略的最佳实践,以及归纳典型设置可以使用audit2rbac,从审计日志提取细粒度的RBAC策略 。
开启审计功能(非强制)
审计功能主要包括两部分内容,一个是k8s api调用审计,一个是管理平台页面操作审计,审计记录均以日志的形式上收到日志平台统一管理,其中api审计日志通过开启k8s audit功能实现,管理平台的审计日志通过管理平台的实现方自定义实现 。
其中api server(kube-apiserver.yaml)开启audit日志的方式是:
–feature-gates=AdvancedAuditing=true
–audit-policy-file=/etc/kubernetes/pki/audit-policy.yaml
–audit-log-format=json
–audit-log-path=/var/log/kubernetes/kubernetes-audit
–audit-log-maxage=30
–audit-log-maxbackup=3
–audit-log-maxsize=100
其中audit策略在文件audit-policy.yaml定义,形如:
审计政策定义了关于应记录哪些事件以及应包含哪些数据的规则 。处理事件时,将按顺序与规则列表进行比较 。第一个匹配规则设置事件的[审计级别][auditing-level] 。已知的审计级别有:
None-符合这条规则的日志将不会记录 。
Metadata-记录请求的metadata(请求的用户、timestamp、resource、verb等等),但是不记录请求或者响应的消息体 。
Request-记录事件的metadata和请求的消息体,但是不记录响应的消息体 。这不适用于非资源类型的请求 。
RequestResponse-记录事件的metadata,请求和响应的消息体 。这不适用于非资源类型的请求 。
目前对于容器云上的API Server审计日志的支持,推荐的日志采集的方式是通过日志采集平台将数据采集到日志中心,通常日志中心是基于大数据理念建设的海量数据存储平台,审计日志的查询配合特定索引进行根据关键字的查询,审计日志保存内容以及保存时间需要遵从相关行业规定,通常日志内容需包含时间、用户、操作模块、操作行为等信息,同时建议在线日志保存一个月以上,此外定期对审计日志进行备份存档(三级系统归档日志至少保存3个月) 。
2.2.3 租户资源访问安全
根据上面容器平台的架构图,我们可以发现容器底层资源是以池化的方式供上层应用进行消费使用的,通过云平台支持多租户模型,提供了多个业务主体应用并行运行的能力,其实这也是云平台的关键特征之一 。
共享的现状为业务的运行提供弹性伸缩的能力,可以实现对多个业务压力削峰填谷的效果,最大限度的提升了资源的利用率 。
但是共享也带了来一定的隐患,比如恶意访问,资源恶意抢占等,因此容器平台需要实现容器资源隔离的能力,目前kubernetes提供的能力包括:
1.资源的访问隔离通过namespace机制对容器云平台进行多租户资源隔离,租户内基于RBAC模式的授权模式进行资源的访问控制 。
2.对于资源请求量方面,admission control是一种多维度可扩展的资源管理机制,每个维度通过一个admission control插件实现 。与Kubernetes用户认证与授权模块一样,对admission control的调用也是由api server来完成的 。
目前支持的admission control插件,分别是
NamespaceLifecycle,LimitRanger,ServiceAccount,TaintNodesByCondition,Priority,DefaultSeconds,DefaultStorageClass,StorageObjectInUseProtection,PersistentVolumeClaimResize,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,RuntimeClass,ResourceQuota
推荐阅读
- 混合云用户该知道的存储选型套路?
- 马云将辞任软银董事,马云辞去软银董事
- LOL云顶之奕9剑士是哪几个
- 马云买肯德基多少股份,肯德基有马云的股份吗
- 数据分析平台有哪些,各大平台数据分析
- 云上贵州icloud,提升iCloud体验
- 云服务多少钱一个月?
- 租用香港云服务器的几个问题
- 为什么韩国云服务器值得推荐
- 香港云主机租赁价格如何?如何选择最好的?