开发者学堂课程【容器安全与 Palo Alto Networks 解决方案 :容器的访问控制】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/628/detail/9884
容器的访问控制
目录:
一、实时 Kubernetes 审核事件流处理
二、Docker RBAC
一、实时 Kubernetes 审核事件流处理
利用 Kubernetes AuditSink 收集有关 K8s 事件的数据
二、Docker RBAC
细粒度的 RBAC,可用于多种解决方案模式,尤其是对于主要在开源组件上构建其应用的组织而言
Docker RBAC
把配置包括这些证书被拷贝到 docker 证书,然后,就可以通对 docker 命令远程进行操作。然后,远程通讯,需要用 tlsverify 然后,写下主机的 id 地址。先摆一个 PS 里面。刚才要通过 defender 来进行访问,它的端口 TC B的。
可以看到在这台主机所有的容器的情况,然后也可以去运行 ubuntu,然后运行完就结束了。
首先需要登录,登录以后,首先只能看到就是研发的 namesbace,它可以根据不同的用户来定义,只能看看,但是不能去做任何的策略的增加或者改变,这也是根据不同的用户来定的。
然后,需要这个用户的这个证书拷贝出来,完了以后,它会自动会把这个下载下来,然后也是被下载到 docker 命令下来,通过一样的命令,试试看是不是可以去访问主机。首先,因为就是个白名单,因为白名单里面,只允许用户修改,并不满足它的策略。然后可以去写一下或是可以去阻止一些设备的。
然后直接就报错了,非常安全的一个操作。因为远程主机之间是通过加密的。另外,除了有一些特定的用户,允许远程,用 docker 的去拉起来一些镜像以外,所有的用户,是没有办法去做任何的 docker 操作。
案例的介绍,比如说像类似的一个流行病的挖矿病毒,就是经过这个侵入网络通过这样一些命令,去远程拉起镜像,然后并在本地进行,所以完全可以保护镜像的安全。
