【发布时间】:2020-02-15 03:50:58
【问题描述】:
我使用docker-bench 评估了 Kubernetes 集群中 Docker 容器的安全配置。我注意到所有 Kubernetes 容器,例如
kube-proxy
kubelet
kube-apiserver
k8s_kube-flannel_canal
k8s_POD_canal
k8s_trident-main_trident-csi
...
以 root 身份运行。这是必要的吗?
此外,一些 Kubernetes 容器,例如 k8s_trident-main_trident、kube-proxy 和 kubelet 以特权模式运行。我想这是 Kubernetes 正常工作所必需的。
我的问题是:如何正确评估 Kubernetes 中 Docker 的安全配置?据我了解,Kubernetes 涵盖了大多数设置,例如 CPU/内存使用、PID cgroup 限制和健康检查。不过现在不知道能不能说一下Docker通过Kubernetes和Rancher管理的时候的安全配置(也用RancherOS)。重新梳理上一个问题:除了加固 Kubernetes 之外,还应该采取哪些步骤/控制来加固 Docker?
【问题讨论】:
标签: docker security kubernetes rancher