Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Заделываем дыры в кластере Kubernetes

Sysadminka
August 02, 2019
Technology
1
44

Заделываем дыры в кластере Kubernetes

Павел Селиванов, Southbridge.io

Расскажу о безопаности в Kubernetes и о том, как закрыть "дыры" в кластере. Затрону темы PodSecurityPolicy, LimitRange/ResourceQuota, расскажу, что и куда торчит портами в кластере.

Sysadminka

August 02, 2019
Tweet

More Decks by Sysadminka

See All by Sysadminka
Ярин Андрей, Интерсвязь - Теледомофоны, или как мы дошли до жизни такой.
sysadminkadesk
0
55
Устройство 1С с точки зрения администратора — Александр Волокитин
sysadminkadesk
0
96
#Связь на километры и сотни мегабит - Игорь Лабер, General Telecom
sysadminkadesk
0
100
Artemy-Kapitula-Cinder-Insides.pdf
sysadminkadesk
0
18
Практика использования Helm
sysadminkadesk
0
50
Sysadminka и UWDC
sysadminkadesk
0
18
Миграция из Docker Swam в Kubernetes
sysadminkadesk
0
24
GitOps CD для Kubernetes
sysadminkadesk
0
93
Анонсируем Service IP из Kubernetes по BGP
sysadminkadesk
0
150

Other Decks in Technology

See All in Technology
TDD - Test Driven Drupal
opdavies
0
3k
成長をサポートするピープルマネジメントのやり方
sioncojp
9
1.4k
今日からできる!簡単 .NET 高速化 Tips -2024 edition-
xin9le
8
4.9k
Gemini, Google's Large Language Model
glaforge
0
130
.NET Profiler in 2024.
kkamegawa
2
2.8k
AWSやJAWS-UGとの出会いを振り返る
yoyoyopg
1
190
Cloudflare WorkersがPythonに対応したので試してみた
miura55
0
130
R3のコードから見る実践LINQ実装最適化・コンカレントプログラミング実例
neuecc
3
3.7k
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
5
37k
中年男性がメインフレームから クラウドへキャリアシフトしてみた
uechishingo
1
430
How to do well in consulting–Balkan Ruby 2024
irinanazarova
0
180
競技としてのKaggle、役に立つKaggle
yu4u
7
2.5k

Featured

See All Featured
Designing Experiences People Love
moore
136
23k
Building Applications with DynamoDB
mza
88
5.6k
RailsConf 2023
tenderlove
9
570
Optimizing for Happiness
mojombo
370
69k
Code Reviewing Like a Champion
maltzj
515
39k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
Navigating Team Friction
lara
179
13k
The Power of CSS Pseudo Elements
geoffreycrofte
62
5k
The Illustrated Children's Guide to Kubernetes
chrisshort
32
47k
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
The Mythical Team-Month
searls
217
42k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
12
1k

Transcript

  1. Заделываем дыры в кластере

  2. Павел Селиванов 2

  3. План 3 • Права пользователей vs права pod’ов • Сбор

    информации о кластере • DoS атака на кластер

  4. Сетап 4

  5. 5 Demo

  6. Права pod’а 6 Privileged … Root user Host namespace Host

    path volume

  7. Pod Security Policy 7 Контролирует аспекты безопасности в описании Pod’ов

    https://kubernetes.io/docs/concepts/policy/pod-security-policy/ spec: privileged: false hostNetwork: false hostPID: false volumes: - configMap - emptyDir - secret - persistentVolumeClaim Привилегированные запрещаем Использовать хостовые нэймспэйсы запрещаем Только эти типы вольюмов разрешены

  8. 8 Мониторинг – самая большая дыра во Вселенной в Вашем

    кластере

  9. Как закрывать Prometheus? 9 • Network Policy • Нет доступа

    – нет проблем • Kube-RBAC-Proxy (https://github.com/brancz/kube-rbac-proxy) • Добавляем авторизацию • На самом деле не только Prometheus • Scheduler • Controller-manager • etc…

  10. 10

  11. https://kubernetes.io/docs/concepts/policy/limit-range/ Минимальные Дефолтные Максимальные Устанавливает ресурсы для объектов кластера •

    Для контейнеров • Для подов • Для PVC Limit Range 11

  12. 12

  13. https://kubernetes.io/docs/concepts/policy/resource-quotas/ Устанавливает количество доступных ресурсов и объектов для нэймспэйса в

    кластере Сервисы Реквесты Лимиты … Поды Resource Quota 13

  14. Итого 14 Pod Security Policy – это хорошо … Network

    Policy – это не какая то еще одна ненужная фича LimitRange/ResourceQuota – пора бы заглянуть в документацию Host path volume Записывайтесь к нам на Слёрм slurm.io

  15. Вопросы?