Kubernetes在Debian上的安全设置指南
sudo apt update && sudo apt upgrade -y,确保Debian系统、Kubernetes组件(kubelet、kubeadm、kubectl)及containerd运行时为最新版本,修补已知安全漏洞。deb https://apt.kubernetes.io/ kubernetes-xenial main),安装kubelet、kubeadm、kubectl,并锁定版本(sudo apt-mark hold kubelet kubeadm kubectl),防止意外升级导致兼容性问题。sudo swapoff -a禁用Swap,修改/etc/fstab删除或注释Swap条目(sudo sed -i '/ swap / s/1/g' /etc/fstab),避免kubelet因Swap启用而无法正常运行。sudo ufw allow 6443/tcp(API服务器)、sudo ufw allow 2379:2380/tcp(etcd)、sudo ufw allow 10250:10255/tcp(kubelet),执行sudo ufw enable激活规则。kubectl delete clusterrolebinding system:anonymous,禁止未认证用户访问集群资源。pod-reader角色允许读取Pod信息),并通过RoleBinding/ClusterRoleBinding将权限分配给用户或服务账户。示例:创建仅能读取default命名空间Pod的Role。kubectl apply -f https://docs.projectcalico.org/v3.25/manifests/calico.yaml,实现Pod间网络隔离与通信控制。default-deny-all策略禁止所有入站/出站流量,再通过具体策略允许特定Pod访问。/etc/containerd/config.toml)启用安全特性(如Seccomp、AppArmor)。imagePullPolicy: IfNotPresent避免拉取未经验证的镜像,优先使用官方或可信仓库的镜像。kubectl create secret命令创建,并通过环境变量或Volume挂载到Pod中。敏感Secrets建议使用外部密钥管理系统(如HashiCorp Vault)进一步保护。privileged: false)、运行用户(runAsUser: MustRunAsNonRoot)、文件系统权限(fsGroup: MustRunAs)等。示例:restricted策略禁止特权容器,强制非root用户运行。audit-policy.yaml),记录所有重要操作(如Pod创建、删除、API访问)。示例:记录pods资源的RequestResponse级别日志,将日志发送到集中式日志系统(如ELK、Loki)进行分析。
