די אַבק פון זיכערהייט אין קובערנעטעס: אָטענטאַקיישאַן, דערלויבעניש, אַודיטינג

גיכער אָדער שפּעטער, אין דער אָפּעראַציע פון ​​קיין סיסטעם, די אַרויסגעבן פון זיכערהייַט ערייזאַז: ינשורינג אָטענטאַקיישאַן, צעשיידונג פון רעכט, אַדאַטינג און אנדערע טאַסקס. שוין באשאפן פֿאַר Kubernetes פילע סאַלושאַנז, וואָס לאָזן איר צו דערגרייכן העסקעם מיט סטאַנדאַרדס אפילו אין זייער פאדערן ינווייראַנמאַנץ ... דער זעלביקער מאַטעריאַל איז דעדאַקייטאַד צו די יקערדיק אַספּעקץ פון זיכערהייַט ימפּלאַמענאַד אין די געבויט-אין מעקאַניזאַמז פון די ק8ס. ערשטער פון אַלע, עס וועט זיין נוציק פֿאַר די וואס אָנהייבן צו באַקענען זיך מיט Kubernetes - ווי אַ סטאַרטינג פונט פֿאַר לערנען זיכערהייט-פֿאַרבונדענע ישוז.

אָטענטאַקיישאַן

עס זענען צוויי טייפּס פון ניצערס אין Kubernetes:

• סערוויס אַקאַונץ - אַקאַונץ געראטן דורך די Kubernetes API;
• ניצערס - "נאָרמאַל" ניצערס געראטן דורך פונדרויסנדיק, פרייַ באַדינונגס.

דער הויפּט חילוק צווישן די טייפּס איז אַז פֿאַר סערוויס אַקאַונץ עס זענען ספּעציעל אַבדזשעקץ אין די Kubernetes API (זיי זענען גערופן אַז - ServiceAccounts), וואָס זענען טייד צו אַ נאַמעספּאַסע און אַ סכום פון דערלויבעניש דאַטן סטאָרד אין דעם קנויל אין אַבדזשעקץ פון די סעקרעץ טיפּ. אַזאַ ניצערס (סערוויס אַקאַונץ) זענען בפֿרט בדעה צו פירן אַקסעס רעכט צו די Kubernetes API פון פּראַסעסאַז פליסנדיק אין די Kubernetes קנויל.

פּראָסט יוזערז טאָן ניט האָבן איינסן אין די Kubernetes API: זיי מוזן זיין געראטן דורך פונדרויסנדיק מעקאַניזאַמז. זיי זענען בדעה פֿאַר מענטשן אָדער פּראַסעסאַז וואָס לעבן אַרויס דעם קנויל.

יעדער אַפּי בעטן איז פֿאַרבונדן מיט אָדער אַ סערוויס אַקאַונט, אַ באַניצער אָדער איז געהאלטן אַנאַנאַמאַס.

באַניצער אָטענטאַקיישאַן דאַטן כולל:

• נאמען - נאמען (שפּירעוודיק פֿאַר פאַל!);
• ויד - אַ מאַשין-ליינעוודיק באַניצער לעגיטימאַציע שטריקל וואָס איז "מער קאָנסיסטענט און יינציק ווי די נאמען";
• גרופּעס - רשימה פון גרופּעס צו וואָס דער באַניצער געהערט;
• עקסטרע - נאָך פעלדער וואָס קענען זיין געוויינט דורך די דערלויבעניש מעקאַניזאַם.

Kubernetes קענען נוצן אַ גרויס נומער פון אָטענטאַקיישאַן מעקאַניזאַמז: X509 סערטיפיקאַץ, טרעגער טאָקענס, אָטענטאַקייטינג פּראַקסי, HTTP Basic Auth. מיט די מעקאַניזאַמז, איר קענען ינסטרומענט אַ גרויס נומער פון דערלויבעניש סקימז: פֿון אַ סטאַטיק טעקע מיט פּאַסווערדז צו OpenID OAuth2.

דערצו, עס איז מעגלעך צו נוצן עטלעכע דערלויבעניש סקימז סיימאַלטייניאַסלי. דורך פעליקייַט, דער קנויל ניצט:

• סערוויס חשבון טאָקענס - פֿאַר סערוויס אַקאַונץ;
• X509 - פֿאַר יוזערז.

די קשיא וועגן אָנפירונג סערוויס אַקאַונץ איז ווייַטער פון דעם פאַרנעם פון דעם אַרטיקל, אָבער פֿאַר די וואס ווילן צו באַקענען זיך מיט דעם אַרויסגעבן אין מער דעטאַל, איך רעקאָמענדירן צו אָנהייבן מיט באַאַמטער דאַקיומענטיישאַן בלעטער. מיר וועלן נעמען אַ נעענטער קוק אין די אַרויסגעבן פון ווי X509 סערטיפיקאַץ אַרבעט.

סערטיפיקאַץ פֿאַר יוזערז (X.509)

דער קלאַסיש וועג פון ארבעטן מיט סערטיפיקאַץ ינוואַלווז:

• שליסל דור:

  mkdir -p ~/mynewuser/.certs/
  openssl genrsa -out ~/.certs/mynewuser.key 2048

• דזשענערייטינג אַ באַווייַזן בעטן:

  openssl req -new -key ~/.certs/mynewuser.key -out ~/.certs/mynewuser.csr -subj "/CN=mynewuser/O=company"

• פּראַסעסינג אַ באַווייַזן בעטן ניצן די Kubernetes קנויל CA שליסלען, באַקומען אַ באַניצער באַווייַזן (צו קריגן אַ באַווייַזן, איר מוזן נוצן אַ חשבון וואָס האט אַקסעס צו די Kubernetes קנויל CA שליסל, וואָס דורך פעליקייַט איז ליגן אין /etc/kubernetes/pki/ca.key):

  openssl x509 -req -in ~/.certs/mynewuser.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out ~/.certs/mynewuser.crt -days 500

• שאַפֿן אַ קאַנפיגיעריישאַן טעקע:
  • קנויל באַשרייַבונג (ספּעציפיצירן די אַדרעס און אָרט פון די CA באַווייַזן טעקע פֿאַר אַ ספּעציפיש קנויל ינסטאַלירונג):

    kubectl config set-cluster kubernetes --certificate-authority=/etc/kubernetes/pki/ca.crt --server=https://192.168.100.200:6443

  • אָדער ווי קייןרעקאַמענדיד אָפּציע - איר טאָן ניט האָבן צו ספּעציפיצירן די וואָרצל באַווייַזן (דערנאָך kubectl וועט נישט קאָנטראָלירן די קערעקטנאַס פון די אַפּי סערווער פון דעם קנויל):

    kubectl config set-cluster kubernetes  --insecure-skip-tls-verify=true --server=https://192.168.100.200:6443

  • אַדינג אַ באַניצער צו די קאַנפיגיעריישאַן טעקע:

    kubectl config set-credentials mynewuser --client-certificate=.certs/mynewuser.crt  --client-key=.certs/mynewuser.key

  • אַדינג קאָנטעקסט:

    kubectl config set-context mynewuser-context --cluster=kubernetes --namespace=target-namespace --user=mynewuser

  • פעליקייַט קאָנטעקסט אַסיינמאַנט:

    kubectl config use-context mynewuser-context

נאָך די אויבן מאַניפּיאַליישאַנז, אין דער טעקע .kube/config אַ קאַנפיגיעריישאַן ווי דאָס וועט זיין באשאפן:

apiVersion: v1
clusters:
- cluster:
    certificate-authority: /etc/kubernetes/pki/ca.crt
    server: https://192.168.100.200:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    namespace: target-namespace
    user: mynewuser
  name: mynewuser-context
current-context: mynewuser-context
kind: Config
preferences: {}
users:
- name: mynewuser
  user:
    client-certificate: /home/mynewuser/.certs/mynewuser.crt
    client-key: /home/mynewuser/.certs/mynewuser.key

צו מאַכן עס גרינגער צו אַריבערפירן די קאַנפיגיעריישאַן צווישן אַקאַונץ און סערווערס, עס איז נוציק צו רעדאַגירן די וואַלועס פון די פאלגענדע שליסלען:

• certificate-authority
• client-certificate
• client-key

צו טאָן דאָס, איר קענען ענקאָוד די טעקעס ספּעסיפיעד אין זיי ניצן base64 און פאַרשרייַבן זיי אין די קאָנפיג, אַדינג די סאַפיקס צו די נאָמען פון די שליסלען. -data, ד.ה. ווייל באקומען certificate-authority-data אאז"ו ו

סערטיפיקאַץ מיט קובעאַדם

מיט דער מעלדונג קובערנעטעס 1.15 ארבעטן מיט סערטיפיקאַץ איז געווארן פיל גרינגער דאַנק צו די אַלף ווערסיע פון ​​זייַן שטיצן אין kubeadm נוצן. פֿאַר בייַשפּיל, דאָס איז וואָס דזשענערייטינג אַ קאַנפיגיעריישאַן טעקע מיט באַניצער שליסלען קען איצט קוקן ווי:

kubeadm alpha kubeconfig user --client-name=mynewuser --apiserver-advertise-address 192.168.100.200

NB: פארלאנגט מעלדן אַדרעס קענען זיין געפֿונען אין די אַפּי-סערווער קאַנפיגיעריישאַן, וואָס דורך פעליקייַט איז ליגן אין /etc/kubernetes/manifests/kube-apiserver.yaml.

די ריזאַלטינג קאַנפיגיעריישאַן וועט זיין רעזולטאַט צו stdout. עס דאַרף צו זיין געראטעוועט אין ~/.kube/config באַניצער חשבון אָדער צו אַ טעקע ספּעסיפיעד אין אַ סוויווע בייַטעוודיק KUBECONFIG.

גראָבן דיפּער

פֿאַר די וואס ווילן צו פֿאַרשטיין די ישוז דיסקרייבד מער ונ דורך:

• באַזונדער אַרטיקל אויף ארבעטן מיט סערטיפיקאַץ אין דער באַאַמטער Kubernetes דאַקיומענטיישאַן;
• גוט אַרטיקל פון ביטנאַמי, אי ן װעלכ ן ע ם װער ט געריר ט ד י פראג ע פו ן סערטיפיקאט ן פו ן פראקטיש ן פערספעקטיוו .
• אַלגעמיינע דאַקיומענטיישאַן אויף אָטענטאַקיישאַן אין Kubernetes.

דערלויבעניש

דער פעליקייַט אָטערייזד חשבון טוט נישט האָבן רעכט צו אַרבעטן אויף דעם קנויל. צו געבן פּערמישאַנז, Kubernetes ימפּלאַמאַנץ אַ דערלויבעניש מעקאַניזאַם.

איידער ווערסיע 1.6, Kubernetes געוויינט אַ דערלויבעניש טיפּ גערופן ABAC (אַטטריביוט-באזירט אַקסעס קאָנטראָל). דעטאַילס וועגן עס קענען זיין געפֿונען אין באַאַמטער דאַקיומענטיישאַן. דער צוגאַנג איז דערווייַל גערעכנט ווי לעגאַט, אָבער איר קענען נאָך נוצן עס צוזאמען אנדערע אָטענטאַקיישאַן טייפּס.

די קראַנט (און מער פלעקסאַבאַל) וועג פון דיוויידינג אַקסעס רעכט צו אַ קנויל איז גערופן RBAC (ראָלע-באזירט אַקסעס קאָנטראָל). עס איז דערקלערט סטאַביל זינט ווערסיע קובערנעטעס 1.8. RBAC ימפּלאַמאַנץ אַ רעכט מאָדעל אין וואָס אַלץ וואָס איז נישט בפירוש דערלויבט איז פּראָוכיבאַטאַד.
צו געבן RBAC, איר דאַרפֿן צו אָנהייבן Kubernetes אַפּי-סערווער מיט דעם פּאַראַמעטער --authorization-mode=RBAC. די פּאַראַמעטערס זענען באַשטימט אין די באַשייַמפּערלעך מיט די אַפּי-סערווער קאַנפיגיעריישאַן, וואָס דורך פעליקייַט איז ליגן אויף דעם דרך /etc/kubernetes/manifests/kube-apiserver.yaml, אין אָפּטיילונג command. אָבער, RBAC איז שוין ענייבאַלד דורך פעליקייַט, אַזוי רובֿ מסתּמא איר זאָל נישט זאָרג וועגן אים: איר קענען באַשטעטיקן דעם דורך די ווערט authorization-mode (אין די שוין דערמאנט kube-apiserver.yaml). דורך דעם וועג, צווישן די מינינגז עס קען זיין אנדערע טייפּס פון דערלויבעניש (node, webhook, always allow), אָבער מיר וועלן לאָזן זייער באַטראַכטונג אַרויס די פאַרנעם פון דעם מאַטעריאַל.

דורך דעם וועג, מיר האָבן שוין ארויס אַרטיקל מיט אַ גאַנץ דיטיילד באַשרייַבונג פון די פּרינסאַפּאַלז און פֿעיִקייטן פון ארבעטן מיט RBAC, אַזוי ווייַטער איך וועל באַגרענעצן זיך צו אַ קורץ רשימה פון די באַסיקס און ביישפילן.

די פאלגענדע אַפּי ענטיטיז זענען געניצט צו קאָנטראָלירן אַקסעס אין Kubernetes דורך RBAC:

• Role и ClusterRole - ראָלעס וואָס דינען צו באַשרייַבן אַקסעס רעכט:
• Role אַלאַוז איר צו באַשרייַבן רעכט אין אַ נאָמען פּלאַץ;
• ClusterRole - אין דעם קנויל, אַרייַנגערעכנט צו קנויל-ספּעציפיש אַבדזשעקץ אַזאַ ווי נאָודז, ניט-רעסורסן URL ס (ד"ה ניט שייַכות צו Kubernetes רעסורסן - פֿאַר בייַשפּיל, /version, /logs, /api*);
• RoleBinding и ClusterRoleBinding - געניצט פֿאַר ביינדינג Role и ClusterRole צו אַ באַניצער, באַניצער גרופּע אָדער סערוויס אַקאַונט.

די ראָלע און ראָלעבינדינג ענטיטיז זענען לימיטעד דורך נאַמעספּאַסע, י.ע. מוזן זיין אין דער זעלביקער נאָמען פּלאַץ. אָבער, אַ ראָלעבינדינג קענען דערמאָנען אַ ClusterRole, וואָס אַלאַוז איר צו שאַפֿן אַ סכום פון דזשאַנעריק פּערמישאַנז און קאָנטראָלירן אַקסעס ניצן זיי.

ראָלעס באַשרייַבן רעכט ניצן סעטאַלז פון כּללים מיט:

• אַפּי גרופּעס - זען באַאַמטער דאַקיומענטיישאַן דורך אַפּיגרופּס און רעזולטאַט kubectl api-resources;
• רעסורסן (רעסורסן: pod, namespace, deployment און אזוי ווייטער.);
• ווערבס (ווערבז: set, update און אזוי ווייטער.).
• מיטל נעמען (resourceNames) - פֿאַר די פאַל ווען איר דאַרפֿן צו צושטעלן אַקסעס צו אַ ספּעציפיש מיטל, און ניט אַלע רעסורסן פון דעם טיפּ.

א מער דיטיילד אַנאַליסיס פון דערלויבעניש אין Kubernetes קענען זיין געפֿונען אויף דעם בלאַט באַאַמטער דאַקיומענטיישאַן. אַנשטאָט (אָדער בעסער, אין דערצו צו דעם), איך וועל געבן ביישפילן וואָס אילוסטרירן איר אַרבעט.

ביישפילן פון RBAC ענטיטיז

פּשוט Role, וואָס אַלאַוז איר צו באַקומען אַ רשימה און סטאַטוס פון פּאָדס און מאָניטאָר זיי אין די נאַמעספּאַסע target-namespace:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: target-namespace
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

בייַשפּיל ClusterRole, וואָס אַלאַוז איר צו באַקומען אַ רשימה און סטאַטוס פון פּאָדס און מאָניטאָר זיי איבער די קנויל:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  # секции "namespace" нет, так как ClusterRole задействует весь кластер
  name: secret-reader
rules:
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get", "watch", "list"]

בייַשפּיל RoleBinding, וואָס אַלאַוז די באַניצער mynewuser "לייענען" פּאָדס אין נאָמען ספּייס my-namespace:

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: target-namespace
subjects:
- kind: User
  name: mynewuser # имя пользователя зависимо от регистра!
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role # здесь должно быть “Role” или “ClusterRole”
  name: pod-reader # имя Role, что находится в том же namespace,
                   # или имя ClusterRole, использование которой
                   # хотим разрешить пользователю
  apiGroup: rbac.authorization.k8s.io

געשעעניש קאָנטראָלירן

סטשעמאַטיקאַללי, די Kubernetes אַרקאַטעקטשער קענען זיין רעפּריזענטיד ווי גייט:

דער שליסל Kubernetes קאָמפּאָנענט פאַראַנטוואָרטלעך פֿאַר פּראַסעסינג ריקוועס איז אַפּי-סערווער. אַלע אַפּעריישאַנז אויף דעם קנויל גיין דורך עס. איר קענט לייענען מער וועגן די ינערלעך מעקאַניזאַמז אין דעם אַרטיקל "וואָס כאַפּאַנז אין Kubernetes ווען איר לויפן kubectl run?'.

סיסטעם אַדאַטינג איז אַ טשיקאַווע שטריך אין Kubernetes, וואָס איז פאַרקריפּלט דורך פעליקייַט. עס אַלאַוז איר צו קלאָץ אַלע קאַללס צו די Kubernetes API. ווי איר קען טרעפן, אַלע אַקשאַנז שייַכות צו מאָניטאָרינג און טשאַנגינג די שטאַט פון די קנויל זענען דורכגעקאָכט דורך דעם אַפּי. א גוטע באַשרייַבונג פון זייַן קייפּאַבילאַטיז קענען (ווי געוויינטלעך) זיין געפֿונען אין באַאַמטער דאַקיומענטיישאַן K8s. ווייַטער, איך וועל פּרובירן צו פאָרשטעלן די טעמע אין אַ סימפּלער שפּראַך.

אזוי, צו געבן אַדאַטינג, מיר דאַרפֿן צו פאָרן דריי פארלאנגט פּאַראַמעטערס צו דעם קאַנטיינער אין אַפּי-סערווער, וואָס זענען דיסקרייבד אין מער דעטאַל אונטן:

• --audit-policy-file=/etc/kubernetes/policies/audit-policy.yaml
• --audit-log-path=/var/log/kube-audit/audit.log
• --audit-log-format=json

אין אַדישאַן צו די דריי נייטיק פּאַראַמעטערס, עס זענען פילע נאָך סעטטינגס שייַכות צו אַדאַטינג: פֿון קלאָץ ראָוטיישאַן צו וועבהאָאָק דיסקריפּשאַנז. בייַשפּיל פון קלאָץ ראָוטיישאַן פּאַראַמעטערס:

• --audit-log-maxbackup=10
• --audit-log-maxsize=100
• --audit-log-maxage=7

אָבער מיר וועלן נישט וווינען אויף זיי אין מער דעטאַל - איר קענען געפֿינען אַלע די דעטאַילס אין kube-apiserver דאַקיומענטיישאַן.

ווי שוין דערמאנט, אַלע פּאַראַמעטערס זענען באַשטימט אין די מאַנאַפעסטיישאַן מיט די אַפּי-סערווער קאַנפיגיעריישאַן (דורך פעליקייַט /etc/kubernetes/manifests/kube-apiserver.yaml), אין אָפּטיילונג command. לאָמיר צוריקקומען צו די 3 פארלאנגט פּאַראַמעטערס און אַנאַלייז זיי:

1. audit-policy-file - דרך צו די YAML טעקע דיסקרייבינג די קאָנטראָלירן פּאָליטיק. מיר וועלן צוריקקומען צו זיין אינהאַלט שפּעטער, אָבער איצט איך וועל טאָן אַז די טעקע מוזן זיין ליינעוודיק דורך די אַפּי-סערווער פּראָצעס. דעריבער, עס איז נייטיק צו אָנקלאַפּן עס ין דעם קאַנטיינער, פֿאַר וואָס איר קענען לייגן די פאלגענדע קאָד צו די צונעמען סעקשאַנז פון די קאַנפיגיעריישאַן:

     volumeMounts:
       - mountPath: /etc/kubernetes/policies
         name: policies
         readOnly: true
     volumes:
     - hostPath:
         path: /etc/kubernetes/policies
         type: DirectoryOrCreate
       name: policies

2. audit-log-path - דרך צו די קלאָץ טעקע. דער דרך מוזן אויך זיין צוטריטלעך צו די אַפּי-סערווער פּראָצעס, אַזוי מיר באַשרייַבן זייַן מאַונטינג אויף די זעלבע וועג:

     volumeMounts:
       - mountPath: /var/log/kube-audit
         name: logs
         readOnly: false
     volumes:
     - hostPath:
         path: /var/log/kube-audit
         type: DirectoryOrCreate
       name: logs

3. audit-log-format - קאָנטראָלירן לאָג פֿאָרמאַט. די פעליקייַט איז json, אָבער די לעגאַט טעקסט פֿאָרמאַט איז אויך בנימצא (legacy).

קאָנטראָלירן פּאָליטיק

איצט וועגן די דערמאנט טעקע דיסקרייבינג די לאָגינג פּאָליטיק. דער ערשטער באַגריף פון קאָנטראָלירן פּאָליטיק איז level, לאָגינג מדרגה. זיי זענען ווי גייט:

• None - טאָן ניט קלאָץ;
• Metadata - קלאָץ בעטן מעטאַדאַטאַ: באַניצער, בעטן צייט, ציל מיטל (פּאָד, נאַמעספּאַסע, אאז"ו ו), קאַמף טיפּ (ווערב), אאז"ו ו;
• Request - קלאָץ מעטאַדאַטאַ און בעטן גוף;
• RequestResponse - קלאָץ מעטאַדאַטאַ, בעטן גוף און ענטפער גוף.

די לעצטע צוויי לעוועלס (Request и RequestResponse) טאָן ניט קלאָץ ריקוועס וואָס האָבן נישט אַקסעס רעסורסן (אַקסעסאַז צו אַזוי גערופענע ניט-רעסורסן URL).

אויך אַלע ריקוועס גיין דורך עטלעכע סטאַגעס:

• RequestReceived - דער בינע ווען די בקשה איז באקומען דורך די פּראַסעסער און איז נאָך נישט טראַנסמיטטעד ווייַטער צוזאמען די קייט פון פּראַסעסערז;
• ResponseStarted - ענטפער כעדערז זענען געשיקט, אָבער איידער די ענטפער גוף איז געשיקט. דזשענערייטאַד פֿאַר לאַנג-לויפן פֿראגן (למשל, watch);
• ResponseComplete - דער ענטפער גוף איז געשיקט, קיין מער אינפֿאָרמאַציע וועט זיין געשיקט;
• Panic - געשעענישן זענען דזשענערייטאַד ווען אַ אַבנאָרמאַל סיטואַציע איז דיטעקטאַד.

צו האָפּקען קיין סטעפּס איר קענען נוצן omitStages.

אין אַ פּאָליטיק טעקע, מיר קענען באַשרייַבן עטלעכע סעקשאַנז מיט פאַרשידענע לאָגינג לעוועלס. דער ערשטער וואָס ריכטן הערשן געפֿונען אין די פּאָליטיק באַשרייַבונג וועט זיין געווענדט.

די קובעלעט דיימאַן מאָניטאָרס ענדערונגען אין די באַשייַמפּערלעך מיט די אַפּי-סערווער קאַנפיגיעריישאַן און, אויב עס זענען דיטעקטאַד, ריסטאַרט דעם קאַנטיינער מיט אַפּי-סערווער. אבער עס איז אַ וויכטיק דעטאַל: ענדערונגען אין די פּאָליטיק טעקע וועט זיין איגנאָרירט דורך עס. נאָך ענדערונגען צו די פּאָליטיק טעקע, איר דאַרפֿן צו ריסטאַרט די אַפּי סערווער מאַניואַלי. זינט אַפּי-סערווער איז סטאַרטעד ווי סטאַטיק פּאָד, מאַנשאַפֿט kubectl delete וועט נישט פאַרשאַפן עס צו ריסטאַרט. איר וועט האָבן צו טאָן עס מאַניואַלי docker stop אויף קובע-מאַסטערס, ווו די קאָנטראָלירן פּאָליטיק איז געביטן:

docker stop $(docker ps | grep k8s_kube-apiserver | awk '{print $1}')

ווען ענייבאַלינג אַדאַטינג, עס איז וויכטיק צו געדענקען אַז די מאַסע אויף קוב-אַפּיסערווער ינקריסיז. אין באַזונדער, זיקאָרן קאַנסאַמשאַן פֿאַר סטאָרינג בעטן קאָנטעקסט ינקריסיז. לאָגינג הייבט זיך בלויז נאָך די ענטפער כעדער איז געשיקט. די מאַסע אויך דעפּענדס אויף די קאָנטראָל פּאָליטיק קאַנפיגיעריישאַן.

ביישפילן פון פּאַלאַסיז

זאל ס קוק אין די סטרוקטור פון פּאָליטיק טעקעס ניצן ביישפילן.

דאָ איז אַ פּשוט טעקע policyצו קלאָץ אַלץ אויף דער מדרגה Metadata:

apiVersion: audit.k8s.io/v1
kind: Policy
rules:
- level: Metadata

אין פּאָליטיק איר קענען ספּעציפיצירן אַ רשימה פון ניצערס (Users и ServiceAccounts) און באַניצער גרופּעס. פֿאַר בייַשפּיל, דאָס איז ווי מיר איגנאָרירן סיסטעם ניצערס, אָבער קלאָץ אַלץ אַנדערש אויף דער מדרגה Request:

apiVersion: audit.k8s.io/v1
kind: Policy
rules:
  - level: None
    userGroups:
      - "system:serviceaccounts"
      - "system:nodes"
    users:
      - "system:anonymous"
      - "system:apiserver"
      - "system:kube-controller-manager"
      - "system:kube-scheduler"
  - level: Request

עס איז אויך מעגלעך צו באַשרייַבן די טאַרגאַץ:

• נאָמען ספּייסאַז (namespaces);
• ווערבס (ווערבז: get, update, delete און אנדערע);
• רעסורסן (רעסורסן, ניימלי: pod, configmaps אאז"ו ו) און מיטל גרופּעס (apiGroups).

באַצאָלן ופמערקזאַמקייַט! רעסאָורסעס און מיטל גרופּעס (אַפּי גרופּעס, ד"ה אַפּיגראָופּס), ווי געזונט ווי זייער ווערסיעס אינסטאַלירן אין דעם קנויל, קענען זיין באקומען מיט די קאַמאַנדז:

kubectl api-resources
kubectl api-versions

די פאלגענדע קאָנטראָלירן פּאָליטיק איז צוגעשטעלט ווי אַ דעמאַנסטריישאַן פון בעסטער פּראַקטיסיז אין אַליבאַבאַ קלאָוד דאַקיומענטיישאַן:

apiVersion: audit.k8s.io/v1beta1
kind: Policy
# Не логировать стадию RequestReceived
omitStages:
  - "RequestReceived"
rules:
  # Не логировать события, считающиеся малозначительными и не опасными:
  - level: None
    users: ["system:kube-proxy"]
    verbs: ["watch"]
    resources:
      - group: "" # это api group с пустым именем, к которому относятся
                  # базовые ресурсы Kubernetes, называемые “core”
        resources: ["endpoints", "services"]
  - level: None
    users: ["system:unsecured"]
    namespaces: ["kube-system"]
    verbs: ["get"]
    resources:
      - group: "" # core
        resources: ["configmaps"]
  - level: None
    users: ["kubelet"]
    verbs: ["get"]
    resources:
      - group: "" # core
        resources: ["nodes"]
  - level: None
    userGroups: ["system:nodes"]
    verbs: ["get"]
    resources:
      - group: "" # core
        resources: ["nodes"]
  - level: None
    users:
      - system:kube-controller-manager
      - system:kube-scheduler
      - system:serviceaccount:kube-system:endpoint-controller
    verbs: ["get", "update"]
    namespaces: ["kube-system"]
    resources:
      - group: "" # core
        resources: ["endpoints"]
  - level: None
    users: ["system:apiserver"]
    verbs: ["get"]
    resources:
      - group: "" # core
        resources: ["namespaces"]
  # Не логировать обращения к read-only URLs:
  - level: None
    nonResourceURLs:
      - /healthz*
      - /version
      - /swagger*
  # Не логировать сообщения, относящиеся к типу ресурсов “события”:
  - level: None
    resources:
      - group: "" # core
        resources: ["events"]
  # Ресурсы типа Secret, ConfigMap и TokenReview могут содержать  секретные данные,
  # поэтому логируем только метаданные связанных с ними запросов
  - level: Metadata
    resources:
      - group: "" # core
        resources: ["secrets", "configmaps"]
      - group: authentication.k8s.io
        resources: ["tokenreviews"]
  # Действия типа get, list и watch могут быть ресурсоёмкими; не логируем их
  - level: Request
    verbs: ["get", "list", "watch"]
    resources:
      - group: "" # core
      - group: "admissionregistration.k8s.io"
      - group: "apps"
      - group: "authentication.k8s.io"
      - group: "authorization.k8s.io"
      - group: "autoscaling"
      - group: "batch"
      - group: "certificates.k8s.io"
      - group: "extensions"
      - group: "networking.k8s.io"
      - group: "policy"
      - group: "rbac.authorization.k8s.io"
      - group: "settings.k8s.io"
      - group: "storage.k8s.io"
  # Уровень логирования по умолчанию для стандартных ресурсов API
  - level: RequestResponse
    resources:
      - group: "" # core
      - group: "admissionregistration.k8s.io"
      - group: "apps"
      - group: "authentication.k8s.io"
      - group: "authorization.k8s.io"
      - group: "autoscaling"
      - group: "batch"
      - group: "certificates.k8s.io"
      - group: "extensions"
      - group: "networking.k8s.io"
      - group: "policy"
      - group: "rbac.authorization.k8s.io"
      - group: "settings.k8s.io"
      - group: "storage.k8s.io"
  # Уровень логирования по умолчанию для всех остальных запросов
  - level: Metadata

אן אנדער גוט בייַשפּיל פון קאָנטראָלירן פּאָליטיק איז פּראָפיל געניצט אין GCE.

צו געשווינד ריספּאַנד צו קאָנטראָלירן געשעענישן, עס איז מעגלעך באַשרייַבן וועבהאָאָק. דעם אַרויסגעבן איז באדעקט אין באַאַמטער דאַקיומענטיישאַן, איך וועט לאָזן עס אַרויס די פאַרנעם פון דעם אַרטיקל.

רעזולטאַטן פון

דער אַרטיקל גיט אַן איבערבליק פון יקערדיק זיכערהייט מעקאַניזאַמז אין Kubernetes קלאַסטערז, וואָס לאָזן איר צו שאַפֿן פערזענליכען באַניצער אַקאַונץ, באַזונדער זייער רעכט און רעקאָרדירן זייער אַקשאַנז. איך האָפֿן עס וועט זיין נוציק פֿאַר די וואס זענען פייסט מיט אַזאַ ישוז אין טעאָריע אָדער אין פיר. איך אויך רעקאָמענדירן איר לייענען די רשימה פון אנדערע מאַטעריאַלס אויף דער טעמע פון ​​זיכערהייט אין Kubernetes, וואָס איז געגעבן אין "פּס" - טאָמער צווישן זיי איר וועט געפֿינען די נייטיק דעטאַילס וועגן די פּראָבלעמס וואָס זענען באַטייַטיק פֿאַר איר.

פּס

לייענען אויך אויף אונדזער בלאָג:

• «33+ Kubernetes זיכערהייט מכשירים";
• «אַ הקדמה צו Kubernetes נעטוואָרק פּאַלאַסיז פֿאַר זיכערהייט פּראָפעססיאָנאַלס";
• «פארשטאנד RBAC אין Kubernetes";
• «9 בעסטער פּראַקטיסיז פֿאַר Kubernetes זיכערהייט";
• «11 וועגן צו (ניט) ווערן אַ קאָרבן פון אַ קובערנעטעס כאַק'.

מקור: www.habr.com