授权管理

Kubernetes集群支持集群级别的操作的子账号授权。

详细操作参见RAM授权

全链路TLS证书

在容器服务提供的Kubernetes集群中,存在以下通信链路,均会进行TLS证书校验,以保证通信不被窃听或篡改。

  • 位于Worker节点上的kubelet主动连接位于Master节点上的apiserver
  • 位于Master节点上的apiserver主动连接位于Worker节点上的kubelet

在初始化过程中,发起初始化的Master节点会通过SSH隧道的方式连接到其他节点的SSH服务(22端口)进行初始化。

原生Secret&RBAC支持

Kubernetes Secret用于存储密码、OAuth Token、SSH Key等敏感信息。明文地将这些敏感信息写在Pod YAML文件中或者写在Dockerfile固化到镜像中,会有信息泄露的可能,使用Secret能有效地避免这些安全隐患。

详细信息参见Secret

Role-Based Access Control(RBAC)使用Kubernetes内置的API组来驱动授权鉴权管理,您可以通过API来管理不同的Pod对应到不同的角色,以及各自的角色拥有的访问权限。

详细信息参见Using RBAC Authorization

网络隔离

Kubernetes集群中不同节点间Pod默认是可以互相访问的。在部分场景中,不同业务之间不应该网络互通,为了减少风险,您需要引入网络隔离(Network Policy)。在Kubernetes集群中,您可以使用Canal网络驱动实现网络隔离支持。

镜像安全扫描

Kubernetes集群可使用容器镜像服务进行镜像管理,镜像服务支持镜像安全扫描。

镜像安全扫描可以快速识别镜像中存在的安全风险,减少Kubernetes集群上运行的应用被攻击的可能性。

详细描述请参见安全扫描容器镜像

安全组与公网访问

每个新建的集群会被默认分配一个新的、安全风险最小化的安全组。该安全组对于公网入方向仅允许ICMP。

创建集群默认不允许公网SSH连入,您可以参见SSH访问Kubernetes集群配置通过公网SSH连入到集群节点中。

集群节点通过NAT网关访问公网,可进一步减少安全风险。