授权管理

Kubernetes 集群支持集群级别的操作的子账号授权。

详细操作参见使用子账号

全链路 TLS 证书

在容器服务提供的 Kubernetes 集群中,存在的以下通信链路,均会进行 TLS 证书校验,以保证通信不被窃听或篡改。

  • 位于 Worker 节点上的 kubelet 主动连接位于 Master 节点上的 apiserver
  • 位于 Master 节点上的 apiserver 主动连接位于 Worker 节点上的 kubelet

在初始化过程中,发起初始化的 Master 节点会通过 SSH 隧道的方式连接到其他节点的 SSH 服务(22 端口)进行初始化。

原生 Secret&RBAC 支持

Kubernetes Secret 用于存储密码、OAuth Token、SSH Key 等敏感信息。明文地将这些敏感信息写在 Pod YAML 文件中或者写在 Dockerfile 固化到镜像中,会有信息泄露的可能,使用 Secret 能有效地避免这些安全隐患。

详细信息参见Secret

Role-Based Access Control (RBAC) 使用 Kubernetes 内置的 API 组来驱动授权鉴权管理,您可以通过 API 来管理不同的 Pod 对应到不同的角色,以及各自的角色拥有的访问权限。

详细信息参见Using RBAC Authorization

网络隔离

Kubernetes 集群中不同节点间 Pod 默认是可以互相访问的。在部分场景中,不同业务之间不应该网络互通,为了减少风险,您需要引入网络隔离(Network Policy)。在 Kubernetes 集群中,您可以使用 Canal 网络驱动实现网络隔离支持。

详细信息参见 给容器服务的 Kubernetes 集群部署 network policy 支持

镜像安全扫描

Kubernetes 集群可使用容器镜像服务进行镜像管理,镜像服务支持镜像安全扫描。

镜像安全扫描可以快速识别镜像中存在的安全风险,减少 Kubernetes 集群上运行的应用被攻击的可能性。

详细描述参见 镜像安全扫描

安全组与公网访问

每个新建的集群会被默认分配一个新的、安全风险最小化的安全组。该安全组对于公网入方向仅允许 ICMP。

创建集群默认不允许公网 SSH 连入,您可以参考SSH访问Kubernetes集群 配置通过公网 SSH 连入到集群节点中。

集群节点通过 NAT 网关访问公网,可进一步减少安全风险。