检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
集群安全组规则配置 CCE作为通用的容器平台,安全组规则的设置适用于通用场景。
安全 安全配置概述 CCE集群安全配置建议 CCE节点安全配置建议 CCE容器运行时的安全配置建议 在CCE集群中使用容器的安全配置建议 在CCE集群中使用镜像服务的安全配置建议 在CCE集群中使用密钥Secret的安全配置建议 在CCE集群中使用工作负载Identity的安全配置建议
Pod安全配置 PodSecurityPolicy配置 Pod Security Admission配置 父主题: 工作负载
安全加固 集群节点如何不暴露到公网? 如何配置集群的访问策略 如何获取TLS密钥证书? 如何批量修改集群node节点安全组? 父主题: 网络管理
考虑到安全,建议最小化用户的访问权限。 如果主账号下需要配置多个IAM用户,应合理配置子用户和命名空间的权限。 配置集群权限请参考集群权限(IAM授权)。 设置命名空间权限请参考命名空间权限(Kubernetes RBAC授权)。
安全运行时与普通运行时 相比于普通运行时,安全运行时可以让您的每个容器(准确地说是Pod)都运行在一个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。
父主题: 安全
在不需要时,请清理节点上的/root/.kube目录下的目录文件,防止被恶意用户利用: rm -rf /root/.kube 加固VPC安全组规则 CCE作为通用的容器平台,安全组规则的设置适用于通用场景。
在CCE集群中使用工作负载Identity的安全配置建议 工作负载Identity允许集群中的工作负载模拟IAM用户来访问云服务,从而无需直接使用IAM账号的AK/SK等信息,降低安全风险。 本文档介绍如何在CCE中使用工作负载Identity。
安全 责任共担 数据保护技术 审计与日志 监控安全风险 认证证书
获取账号ID 在调用接口的时候,部分URL中需要填入账号ID(domain-id),所以需要先在管理控制台上获取到账号ID。账号ID获取步骤如下: 注册并登录管理控制台。 单击用户名,在下拉列表中单击“我的凭证”。 在“API凭证”页面的项目列表中查看账号ID。
这种方式使多个团队或组织能够安全、便捷地访问彼此的数据资源,避免重复存储和冗余传输,同时确保数据的最新性和合规性,从而提升整体的业务效率和安全性。 操作流程 假设账号B在某种情况下需要访问和使用账号A的某个OBS桶,具体操作流程请参见图1和表1。
安全配置概述 基于安全责任共担模式,CCE服务确保集群内master节点和CCE自身组件的安全,并在集群、容器级别提供一系列的层次化的安全能力,而用户则负责集群Node节点的安全并遵循CCE服务提供的安全最佳实践,做好安全配置和运维。
图3 销售许可证&软件著作权证书 父主题: 安全
图1 节点默认安全组 选择一个已有的安全组,并确认安全组规则满足集群要求后,单击“确定”。 请确认选择的安全组设置了正确的端口规则,否则将无法成功创建节点。安全组需要满足的端口规则根据集群类别存在差异,详情请参见集群安全组规则配置。
如果您已经修改默认Pod安全策略后,想恢复原始Pod安全策略,请执行以下操作。
容器安全插件 CCE密钥管理(对接 DEW) 容器镜像签名验证 父主题: 插件
使用Bound ServiceAccount Token访问集群 基于Secret的ServiceAccount Token由于token不支持设置过期时间、不支持自动刷新,并且由于存放在secret中,pod被删除后token仍然存在secret中,一旦泄露可能导致安全风险。
除了Dockerfile,您还可以在Kubernetes的podSpec中使用securityContext字段来设置用户和组ID,在部署时强制执行安全策略。 父主题: 安全
有关更多关于如何为容器设置Capabilities的信息,请参见为容器设置Capabilities。 Seccomp Seccomp是一种系统调用过滤机制,它能够限制进程能够使用的系统调用,从而减少潜在的攻击面。