安全

Kubernetes 文档的这一部分旨在帮助您学习如何更安全地运行工作负载，并了解保持 Kubernetes 集群安全的基本方面。

Kubernetes 基于云原生架构，并借鉴了CNCF 关于云原生信息安全良好实践的建议。

阅读云原生安全和 Kubernetes，了解如何保护集群和在集群上运行的应用程序的更广泛背景。

Kubernetes 安全机制

Kubernetes 包含多个 API 和安全控制，以及定义策略的方法，这些策略可以构成您管理信息安全的方式的一部分。

控制平面保护

任何 Kubernetes 集群的关键安全机制是控制对 Kubernetes API 的访问。

Kubernetes 希望您配置和使用 TLS 来提供控制平面内部以及控制平面与其客户端之间的传输中数据加密。您还可以为 Kubernetes 控制平面中存储的数据启用静态加密；这与对您自己的工作负载数据使用静态加密是分开的，这样做可能也是个好主意。

Secret

Secret API 为需要保密性的配置值提供基本保护。

工作负载保护

实施Pod 安全标准，以确保 Pod 及其容器得到适当的隔离。如果需要，您还可以使用RuntimeClasses 来定义自定义隔离。

网络策略允许您控制 Pod 之间或 Pod 与集群外部网络之间的网络流量。

您可以部署来自更广泛生态系统的安全控制，以实施围绕 Pod、其容器以及其中运行的镜像的预防性或检测性控制。

审计

Kubernetes 审计日志提供了一组与安全相关的、按时间顺序排列的记录，记录了集群中的操作序列。集群审计用户、使用 Kubernetes API 的应用程序以及控制平面本身生成的活动。

云提供商安全

如果您在自己的硬件或其他云提供商上运行 Kubernetes 集群，请查阅您的文档以了解安全最佳实践。以下是一些流行的云提供商的安全文档的链接

策略

您可以使用 Kubernetes 原生机制定义安全策略，例如NetworkPolicy（对网络数据包筛选的声明式控制）或ValidatingAdmissionPolicy（对某人使用 Kubernetes API 可以进行的更改的声明式限制）。

但是，您也可以依赖 Kubernetes 周围更广泛的生态系统的策略实施。Kubernetes 提供了扩展机制，允许这些生态系统项目在源代码审查、容器镜像批准、API 访问控制、网络等方面实施自己的策略控制。

有关策略机制和 Kubernetes 的更多信息，请阅读策略。

下一步

了解相关的 Kubernetes 安全主题

• 保护您的集群
• Kubernetes 中已知的漏洞（以及进一步信息的链接）
• 控制平面的传输中数据加密
• 静态数据加密
• 控制对 Kubernetes API 的访问
• Pod 的网络策略
• Kubernetes 中的 Secret
• Pod 安全标准
• RuntimeClasses

了解上下文

• 云原生安全和 Kubernetes

获得认证

• 认证的 Kubernetes 安全专家认证和官方培训课程。

阅读本节中的更多内容