Membatasi secara manual izin peran RAM Worker untuk meningkatkan keamanan node - Container Service for Kubernetes

Untuk meningkatkan keamanan node dalam kluster ACK yang dikelola, Anda dapat menyesuaikan secara manual izin peran RAM yang ditetapkan ke node pekerja berdasarkan prinsip hak istimewa minimal.

Prasyarat

Kluster ACK yang dikelola (ACK Managed Cluster Pro atau ACK Managed Cluster Basic) versi 1.18 atau lebih baru telah dibuat. Untuk informasi selengkapnya, lihat Buat kluster ACK yang dikelola dan Tingkatkan kluster secara manual.
Jika Anda ingin membatasi izin untuk kluster khusus ACK, migrasikan ke ACK Managed Cluster Pro. Untuk informasi selengkapnya, lihat Migrasi panas kluster khusus ACK ke ACK Managed Cluster Pro.
Peran layanan default yang diperlukan oleh kluster ACK yang dikelola telah diberikan. Untuk informasi selengkapnya, lihat Berikan izin ke peran layanan dengan satu klik.

Langkah 1: Konfirmasi apakah pembatasan diperlukan

Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Pada halaman Clusters, klik nama kluster target. Pada tab Basic Information, klik tautan di samping Worker RAM Role untuk membuka konsol RAM.
Pada tab Permissions halaman Role, periksa apakah terdapat kebijakan akses.
- Jika daftarnya kosong, pembatasan tidak diperlukan.
- Jika daftarnya tidak kosong—misalnya berisi k8sWorkerRolePolicy-db8ad5c7***—izin peran RAM Worker mungkin perlu dibatasi. Anda dapat memutuskan apakah akan melanjutkan berdasarkan skenario bisnis dan prinsip hak istimewa minimal.

Langkah 2: Tingkatkan komponen sistem

Komponen sistem inti yang diinstal di kluster ACK yang dikelola harus ditingkatkan ke versi minimum yang disyaratkan atau versi terbaru. Untuk informasi selengkapnya, lihat Kelola komponen.

Penting

Jangan tingkatkan beberapa komponen sekaligus. Lakukan peningkatan satu per satu dan pastikan setiap komponen berhasil ditingkatkan sebelum melanjutkan ke komponen berikutnya.
Sebelum menaikkan versi komponen, baca catatan rilis terkait komponen tersebut.

Komponen diinstal melalui dua cara: manajemen komponen atau kelompok node. Persyaratan dan metode peningkatan dijelaskan di bawah ini.

Komponen yang diinstal melalui manajemen komponen

Pada halaman Component Management, gunakan tabel berikut untuk menaikkan versi komponen yang diinstal di kluster ke versi minimum yang disyaratkan atau versi terbaru. Untuk komponen yang tidak perlu ditingkatkan, terapkan ulang menggunakan perintah redeploy pada tabel berikut. Anda juga dapat menerapkan ulang komponen melalui konsol.

Nama Komponen	Versi Minimum Komponen	Perintah untuk Menerapkan Ulang Komponen	Catatan
metrics-server	v0.3.9.4-ff225cd-aliyun	`kubectl -n kube-system rollout restart deployment/metrics-server`	Tidak ada
alicloud-monitor-controller	v1.5.5	`kubectl -n kube-system rollout restart deployment/alicloud-monitor-controller`	Tidak ada
logtail-ds	v1.0.29.1-0550501-aliyun	`kubectl -n kube-system rollout restart daemonset/logtail-ds kubectl -n kube-system rollout restart deployment/alibaba-log-controller`	Tidak ada
loongcollector	v3.0.2	`kubectl -n kube-system rollout restart daemonset/loongcollector-ds kubectl -n kube-system rollout restart deployment/loongcollector-operator`	Tidak ada
terway	v1.0.10.333-gfd2b7b8-aliyun	`kubectl -n kube-system rollout restart daemonset/terway`	Tingkatkan komponen Terway yang sesuai berdasarkan mode Terway yang Anda instal. Untuk informasi selengkapnya tentang mode Terway, lihat Gunakan plug-in jaringan Terway. Setelah menaikkan versi komponen, Anda juga perlu memodifikasi konfigurasi komponen Terway secara manual. Untuk informasi selengkapnya, lihat Periksa konfigurasi komponen Terway.
terway-eni	v1.0.10.333-gfd2b7b8-aliyun	`kubectl -n kube-system rollout restart daemonset/terway-eni`
terway-eniip	v1.0.10.333-gfd2b7b8-aliyun	`kubectl -n kube-system rollout restart daemonset/terway-eniip`
terway-controlplane	v1.2.1	`kubectl -n kube-system rollout restart deployment/terway-controlplane`	Tidak ada
flexvolume	v1.14.8.109-649dc5a-aliyun	`kubectl -n kube-system rollout restart daemonset/flexvolume`	Migrasikan FlexVolume ke CSI.
csi-plugin	v1.18.8.45-1c5d2cd1-aliyun	`kubectl -n kube-system rollout restart daemonset/csi-plugin`	Tidak ada
csi-provisioner	v1.18.8.45-1c5d2cd1-aliyun	`kubectl -n kube-system rollout restart deployment/csi-provisioner`	Tidak ada
storage-operator	v1.18.8.55-e398ce5-aliyun	`kubectl -n kube-system rollout restart deployment/storage-auto-expander kubectl -n kube-system rollout restart deployment/storage-cnfs kubectl -n kube-system rollout restart deployment/storage-monitor kubectl -n kube-system rollout restart deployment/storage-snapshot-manager kubectl -n kube-system rollout restart deployment/storage-operator`	Tidak ada
alicloud-disk-controller	v1.14.8.51-842f0a81-aliyun	`kubectl -n kube-system rollout restart deployment/alicloud-disk-controller`	Tidak ada
ack-node-problem-detector	1.2.16	`kubectl -n kube-system rollout restart deployment/ack-node-problem-detector-eventer`	Tidak ada
aliyun-acr-credential-helper	v23.02.06.2-74e2172-aliyun	`kubectl -n kube-system rollout restart deployment/aliyun-acr-credential-helper`	Sebelum menaikkan versi komponen, Anda harus terlebih dahulu memberikan izin. Jika Anda tidak memiliki izin RAM kustom dan tidak perlu menarik citra lintas akun, buka halaman Manajemen Komponen untuk memodifikasi konfigurasi komponen. Pastikan bahwa tokenMode diatur ke managedRole. Jika Anda tidak memerlukan fitur tarik citra tanpa kata sandi untuk citra pribadi yang disediakan oleh komponen ini, Anda dapat menguninstall komponen tersebut.
ack-cost-exporter	1.0.10	`kubectl -n kube-system rollout restart deployment/ack-cost-exporter`	Sebelum menaikkan versi komponen, Anda harus terlebih dahulu memberikan izin.
mse-ingress-controller	1.1.5	`kubectl -n mse-ingress-controller rollout restart deployment/ack-mse-ingress-controller`	Sebelum menaikkan versi komponen, Anda harus terlebih dahulu memberikan izin.
arms-prometheus	1.1.11	`kubectl -n arms-prom rollout restart deployment/arms-prometheus-ack-arms-prometheus`	Tidak ada
ack-onepilot	3.0.11	`kubectl -n ack-onepilot rollout restart deployment/ack-onepilot-ack-onepilot`	Sebelum menaikkan versi komponen, Anda harus terlebih dahulu memberikan izin.

Komponen cluster-autoscaler yang diinstal melalui kelompok node

Nama Komponen

Versi Minimum Komponen

Jalankan perintah berikut untuk menerapkan ulang

Catatan

cluster-autoscaler

v1.3.1-bcf13de9-aliyun

kubectl -n kube-system rollout restart deployment/cluster-autoscaler

Anda dapat melihat versi komponen cluster-autoscaler dengan dua cara berikut. Untuk menaikkan versi komponen, lihat [Peningkatan Komponen] Pengumuman Peningkatan cluster-autoscaler.

Lihat versi di Konsol Container Service for Kubernetes (ACK). Untuk informasi selengkapnya, lihat Cara melihat versi komponen cluster-autoscaler.

Jalankan perintah berikut untuk melihat versi komponen.

kubectl -n kube-system get deployment/cluster-autoscaler -o yaml | grep acs/autoscaler

Periksa konfigurasi komponen Terway

Jika komponen terway, terway-eni, atau terway-eniip diinstal di kluster Anda, Anda juga harus memeriksa secara manual berkas konfigurasi Terway. Untuk melakukannya, periksa isi konfigurasi eni_conf di ConfigMap bernama eni-config dalam namespace kube-system.

Jalankan perintah berikut untuk mengedit dan melihat ConfigMap Terway.
```
kubectl edit cm eni-config -n kube-system
```
- Jika berkas berisi item konfigurasi "credential_path": "/var/addon/token-config",, tidak diperlukan tindakan lebih lanjut.
- Jika berkas tidak berisi item konfigurasi "credential_path": "/var/addon/token-config",, modifikasi secara manual konfigurasi eni_conf dengan menambahkan baris "credential_path": "/var/addon/token-config", di bawah item konfigurasi min_pool_size.
```
"credential_path": "/var/addon/token-config",
```
Terapkan ulang beban kerja komponen Terway dengan menjalankan perintah penerapan yang sesuai.

Langkah 3: Kumpulkan log audit

Anda harus mengumpulkan log audit operasi API untuk menganalisis log yang dihasilkan oleh kluster pengujian. Hal ini membantu memastikan tidak ada aplikasi di kluster yang masih bergantung pada kebijakan akses yang diberikan kepada peran RAM Worker. Untuk informasi selengkapnya tentang layanan Alibaba Cloud yang didukung ActionTrail, lihat Layanan Alibaba Cloud yang didukung.

Catatan

Kumpulkan log audit setidaknya selama satu minggu.

Di Konsol ActionTrail, buat jejak akun tunggal untuk wilayah tempat kluster berada. Saat membuat jejak, pilih Deliver Events To Simple Log Service (SLS). Untuk informasi selengkapnya, lihat Buat jejak akun tunggal.

Langkah 4: Uji fitur kluster

Setelah menyelesaikan pembatasan izin, uji fitur dasar kluster untuk memastikan komponen sistem berfungsi sebagaimana mestinya.

Fitur Dasar	Kasus Uji Dasar	Referensi
Komputasi	Node dapat diskalakan masuk dan keluar sebagaimana mestinya.	Skalakan kelompok node secara manual
Jaringan	Alamat IP dapat ditetapkan ke Pod sebagaimana mestinya.	Penyebaran dan rilis
Penyimpanan	Beban kerja yang menggunakan penyimpanan eksternal dapat diterapkan sebagaimana mestinya (jika fitur ini digunakan).	Penyimpanan - CSI
Pemantauan	Data pemantauan dan peringatan dapat diperoleh sebagaimana mestinya.	Observabilitas
Elastisitas	Penyesuaian otomatis node dapat diimplementasikan sebagaimana mestinya (jika fitur ini digunakan).	Aktifkan penyesuaian otomatis node
Keamanan	Fitur tarik citra tanpa kata sandi dapat digunakan sebagaimana mestinya (jika fitur ini digunakan).	Instal dan gunakan komponen bebas kata sandi yang tidak terkelola

Penting

Setelah menguji fitur dasar kluster, uji juga logika bisnis aplikasi yang diterapkan di kluster untuk memastikan operasional bisnis berjalan normal.

Langkah 5: Analisis log audit

Masuk ke Konsol Simple Log Service.
Di bagian Projects, klik proyek yang sesuai.
Pada tab Log Storage > Logstores, klik Logstore tujuan.
Kueri semua log audit yang disimpan di Logstore milik proyek log yang ditentukan di Langkah 3. Logstore tersebut bernama actiontrail_<nama_jejak>.
Gunakan pernyataan kueri berikut untuk menghitung operasi OpenAPI yang dipanggil oleh aplikasi di kluster menggunakan token Security Token Service (STS) dari peran RAM Worker.
Ganti <worker_role_name> dalam pernyataan berikut dengan nama peran RAM Worker kluster.
```
* and event.userIdentity.userName: <worker_role_name> | select "event.serviceName", "event.eventName", count(*) as total GROUP BY "event.eventName", "event.serviceName"
```

Langkah 6: Batasi izin yang diberikan kepada peran RAM Worker

Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Pada halaman Clusters, klik nama kluster target. Pada tab Basic Information, klik tautan di samping Worker RAM Role untuk membuka konsol RAM.
Pada tab Permissions halaman Role, klik kebijakan akses yang dituju untuk membuka tab Policy Document, lalu klik Edit Policy.
Penting
Sebelum memodifikasi dokumen kebijakan, cadangkan dokumen kebijakan yang ada agar Anda dapat mengembalikan konfigurasi izin jika diperlukan.
Saat memodifikasi dokumen kebijakan, tentukan apakah akan menghapus izin yang tidak diperlukan berdasarkan kebutuhan Anda dan hasil analisis log audit dari Langkah 5. Misalnya, Anda dapat menghapus izin action yang tidak muncul dalam statistik. Jika Anda memastikan tidak ada izin yang diperlukan, Anda dapat mencabut semua kebijakan akses yang diberikan.
Terapkan ulang beban kerja komponen sistem. Untuk informasi selengkapnya, lihat perintah penerapan ulang di Langkah 2.
Ulangi proses pembatasan pada Langkah 4, Langkah 5, dan Langkah 6 hingga peran RAM Worker hanya memiliki izin minimum yang diperlukan oleh komponen atau aplikasi.

Referensi

Untuk informasi selengkapnya tentang sistem otorisasi keseluruhan ACK, lihat Praktik terbaik untuk otorisasi.