FAQ keamanan kontainer - Container Service for Kubernetes

Topik ini menjawab pertanyaan yang sering diajukan (FAQ) mengenai keamanan kontainer aplikasi.

Mengapa tidak ada konektivitas jaringan antar kontainer?
Bagaimana cara menentukan grup keamanan untuk kluster Kubernetes?
Apakah fitur audit kluster dapat dinonaktifkan atau diaktifkan setelah kluster dibuat?
Bagaimana cara mengubah periode validitas sertifikat dan mengganti sertifikat komponen untuk kluster ACK Dedicated?
Mengapa saya tidak dapat membuat pod, dan mengapa muncul pesan kesalahan "no providers available to validate pod request"?
Mengapa saya tidak dapat menggunakan Secret di namespace baru?
Mengapa saya tidak dapat memasang default-token?
Bagaimana cara mengkueri log audit?
Bagaimana cara mengumpulkan informasi diagnostik untuk node kluster ACK Edge?
Mengapa log kubelet dari kluster Kubernetes pada CentOS 7.6 berisi pesan "Reason:KubeletNotReady Message:PLEG is not healthy:"?

Mengapa tidak ada konektivitas jaringan antar kontainer?

Anda dapat mengikuti langkah-langkah berikut untuk mengatasi masalah konektivitas jaringan di kluster ACK yang disebabkan oleh grup keamanan.

Aturan masuk dengan Authorization Object yang diatur ke Pod Network CIDR dan Protocol Type yang diatur ke All telah dihapus.
1. Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
2. Pada halaman Clusters, temukan kluster target dan klik namanya. Di panel navigasi sebelah kiri, klik Cluster Information.
3. Pada halaman Cluster Information, klik tab Basic Information. Klik tautan di samping Control Plane Security Group untuk membuka halaman grup keamanan di Konsol ECS.
4. Pada halaman Security Groups, di tab Inbound, klik Add Rule. Pada kotak dialog yang muncul, konfigurasikan aturan tersebut lalu klik OK.
  - Authorization Policy: Allow.
  - Priority: Default.
  - Protocol: Pilih All Traffic.
  - Source: Masukkan blok CIDR pod. Anda dapat memperoleh blok CIDR pod (Pod Network CIDR) dari bagian Network pada halaman detail kluster di konsol Container Service.

Aturan masuk telah ditambahkan dengan Access Source berupa CIDR jaringan Pod dan Protocol berupa All Traffic.

Grup keamanan instance ECS baru berbeda dari grup keamanan kluster.
1. Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
2. Pada halaman Clusters, temukan kluster target dan klik namanya. Di panel navigasi sebelah kiri, klik Cluster Information.
3. Pada halaman Cluster Information, klik tab Basic Information dan catat ID grup keamanan dari kolom Security Group.
4. Tambahkan instance ECS target ke grup keamanan kluster yang telah Anda catat pada langkah sebelumnya. Untuk informasi selengkapnya tentang cara menambahkan instance ECS ke grup keamanan, lihat Tambahkan instance ke, hapus instance dari, atau ganti grup keamanan untuk instance.

Bagaimana cara menentukan grup keamanan untuk kluster Kubernetes?

Tentukan grup keamanan saat membuat kluster

Saat membuat kluster Kubernetes, ACK secara otomatis membuat grup keamanan default. Anda dapat memodifikasi aturan grup keamanan ini sesuai kebutuhan. Untuk informasi selengkapnya, lihat Konfigurasi grup keamanan kluster.

Ubah grup keamanan terkait pada kluster yang sudah ada

Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Pada halaman Clusters, klik nama kluster target. Di panel navigasi sebelah kiri, pilih Cluster Information.
Pada halaman Cluster Information, klik tab Basic Information. Di bagian Network, klik Edit di samping Control Plane Security Group.
Pada kotak dialog yang muncul, pilih grup keamanan yang ingin Anda gunakan lalu klik OK.

Apakah fitur audit kluster dapat dinonaktifkan atau diterapkan setelah kluster dibuat?

Ya. Untuk informasi selengkapnya, lihat Gunakan fitur audit API server kluster.

Bagaimana cara mengubah periode validitas sertifikat dan mengganti sertifikat komponen untuk kluster ACK Dedicated?

Sekitar dua bulan sebelum sertifikat kluster Anda kedaluwarsa, Anda akan menerima pesan internal dan notifikasi. Setelah menerima notifikasi, buka halaman Clusters di konsol dan klik tombol untuk memperbarui sertifikat. Untuk informasi selengkapnya, lihat Perbarui sertifikat yang akan kedaluwarsa untuk kluster khusus ACK.
Jika sertifikat kluster Kubernetes Anda telah kedaluwarsa, lihat Perbarui sertifikat yang kedaluwarsa untuk kluster khusus ACK.

Mengapa saya tidak dapat membuat pod, dan mengapa muncul pesan kesalahan "no providers available to validate pod request"?

Jika Anda belum mengonfigurasi Pod Security Policy (PSP) kustom, kesalahan ini terjadi karena Anda menghapus PSP default. Untuk mengatasi masalah ini, pulihkan aturan PSP default. Untuk informasi selengkapnya, lihat [Tidak Disarankan] Gunakan Pod Security Policies.
Untuk mengonfigurasi PSP kustom, lihat Aktifkan manajemen kebijakan keamanan.

Mengapa saya tidak dapat menggunakan Secret di namespace baru?

Secret bersifat cakupan namespace. Anda harus membuat Secret di namespace baru tersebut.

Mengapa saya tidak dapat memasang default-token?

default-token tidak dapat dipasang. Pesan kesalahan sebagai berikut:

Normal Scheduled 13m default-scheduler Successfully assigned dev/alibaba-demo-67fcdbfb8-zklnp to cn-hangzhou.10.7.3.16  Warning FailedMount 13m (x2 over 13m) kubelet, cn-hangzhou.10.7.3.16 MountVolume.SetUp failed for volume 'default-token-8twx9' : mount failed: exit status 1 Mounting command: systemd-run Mounting arguments: --description=Kubernetes transient mount for /var/lib/kubelet/pods/62d39b35-9a4d-11ea-9870-c24d56a0e904/volumes/kubernetes.io~secret/default-token-8twx9 --scope -- mount -t tmpfs tmpfs /var/lib/kubelet/pods/62d39b35-9a4d-11ea-9870-c24d56a0e904/volumes/kubernetes.io~secret/default-token-8twx9 Output: Failed to start transient scope unit: Argument list too long  Warning FailedCreatePodContainer 3m40s (x49 over 13m) kubelet, cn-hangzhou.10.7.3.16 unable to ensure pod container exists: failed to create container for [kubepods burstable pod62d39b35-9a4d-11ea-9870-c24d56a0e904] : Argument list too long

Masalah ini terjadi karena versi systemd terlalu lama.

Perbarui systemd. Untuk informasi selengkapnya, lihat systemd.
Jalankan perintah sudo systemctl daemon-reload untuk memulai ulang dan mengatur ulang daemon. Untuk informasi selengkapnya, lihat systemd.

Bagaimana cara mengkueri log audit?

Kueri log audit untuk perubahan terkait RBAC

Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Pada halaman Clusters, klik nama kluster target. Di panel navigasi sebelah kiri, pilih Cluster Information.
Pada halaman Cluster Information, klik tab Basic Information. Klik tautan di samping Log Service Project untuk membuka konsol Simple Log Service (SLS).
Pada halaman Log Storage > Logstores, pilih Logstore audit-<cluster_id> lalu klik Query / Analyze di pojok kanan atas.
Dari daftar drop-down di bagian atas halaman, pilih rentang waktu, misalnya 15 menit terakhir.
Catatan
Rentang waktu harus mencakup periode mulai dari saat sistem berfungsi normal hingga saat masalah terjadi. Misalnya, Anda dapat memilih 3 hari, 7 hari, atau 15 hari.
Pada kotak teks Query / Analyze, masukkan kueri SQL berikut lalu klik Query / Analyze di pojok kanan atas.
```
requestURI: "rbac.authorization.k8s.io" not (verb: get or verb: watch) 
```
Klik ikon dan pilih Download Logs. Pada kotak dialog Download Logs, konfigurasikan pengaturan unduhan lalu klik OK.

Kueri log audit untuk perubahan terkait ConfigMap

Pada kotak teks Query / Analyze, masukkan kueri SQL berikut lalu klik Query / Analyze. Untuk informasi selengkapnya mengenai operasi lainnya, lihat Bagaimana cara mengkueri log audit?.

requestURI: "configmaps" and <configmap_name> not (verb: get or verb: watch or verb: list)

Catatan

Saat menjalankan kueri, ganti <configmap_name> dengan nama ConfigMap yang sebenarnya.

Kueri log audit untuk penskalaan pod dalam deployment

Pada kotak teks Query / Analyze, masukkan kueri SQL berikut lalu klik Query / Analyze. Untuk informasi selengkapnya mengenai operasi lainnya, lihat Bagaimana cara mengkueri log audit?.

requestURI: deployments and (verb: update or verb: patch) and replicas and deployments and <deployment_name> not deployment-controller

Catatan

Saat menjalankan kueri, ganti <deployment_name> dengan nama deployment yang sebenarnya.