在管理 Kubernetes 集群方面,大部分的玩家及管理者一開始最在意的一定會是自己的服務能不能夠順利運行起來,同時能不能藉由 kubernetes 的諸多特性,如 service/configmap/deployment/daemonset 等各式各樣的資源來加強自身的服務能力。然而對於一個真正運行產品的集群來說是完全不夠的,除了服務的功能以及穩定外,還有諸多相關的議題都需要一併考慮並且處理。在此議題下特別重要的就是 Security 的處理, Security 處理的不當,可能會造成使用者的資料被竊取,更嚴重甚至整個集權的管理權限都被外人取得。因此這次特別分享一篇 "11 Ways Not to Get Hacked" 的文章,針對裡面提出的 11 個保護好你 kubernetes 集群的方向進行研究,並且配上自己的心得與整理。
在管理 Kubernetes 集群方面,大部分的玩家及管理者一開始最在意的一定會是自己的服務能不能夠順利運行起來,同時能不能藉由 kubernetes 的諸多特性,如 service/configmap/deployment/daemonset 等各式各樣的資源來加強自身的服務能力。然而對於一個真正運行產品的集群來說是完全不夠的,除了服務的功能以及穩定外,還有諸多相關的議題都需要一併考慮並且處理。在此議題下特別重要的就是 Security 的處理, Security 處理的不當,可能會造成使用者的資料被竊取,更嚴重甚至整個集權的管理權限都被外人取得。因此這次特別分享一篇 "11 Ways Not to Get Hacked" 的文章,針對裡面提出的 11 個保護好你 kubernetes 集群的方向進行研究,並且配上自己的心得與整理。
在這個資訊安全意識稍微抬頭的世代,網站配有 HTTPS 可說是個基本標配。同時因為 Let's Encrypt 的出現,讓 TLS 憑證的申請變得簡單且容易上手。然而使用 Let's Encrypt 本身還是有一些限制要處理,譬如需要定期更新憑證,以及如何驗證申請者目標網域的擁有者,這部分的操作都有對應的腳本來處理。然而在 Kubernetes 叢集之中,除了手動去運行這些腳本之外,有沒有更方便的方式可以整合這一切。本文要介紹一個叫做 `Cert-Manager` 的解決方案,透過其原理的理解,以及實際操作的步驟來學習如何更方便的在 kubernetes 叢集內管理憑證
本篇文章節錄自 CNCF End User Technology Radar 關於 Secret的報告,擷取相關重點並加上個人心得來跟大家分享現在 CNCF 社群是怎麼選擇自己適合的 Secret 管理工具
有鑒於 CRI 的標準架構,各式各樣的針對不同目標的專案都能夠整合到 Kubernetes 中,而本文要介紹的兩個專案分別是 gVisor 以及 kata-container, 這兩個專案都是基於安全性考量而開發的 OCI Runtine,與其相同地位的就是最知名的 OCI Runtime, runc。 本文會介紹這兩個專案的概念以及目標,並且討論其實作架構來比較這兩種不同的方式是如何達到安全的效果
Seucirty 一直以來都無法忽視的問題,平常不理他可能相安無事,一旦出事情必定人仰馬翻。然而對於 kubernetes 這樣的容器管理平台來說,安全這個概念涵蓋的範圍很大,從底層架構的部署,到 kubernetes 平台的搭建,容器本身的創建以及應用程式的撰寫,每個環節都有安全的問題需要考量。本章節會針對容器相關的一些權限部分進行探討,並且從 kubernetes pod 的格式中去學習有什麼相關的權限設定可以用