云原生安全，加固集群的安全该怎么做？

集群的安全，在Kubernetes的早期，默认设置使控制平面在许多重要方面不安全。不同的安装工具可能以不同的方式配置您的部署，这使得情况更加复杂。配置的设置对于Kubernetes控制平面安全非常重要，需要在部署在生产环境之前，对配置进行检查和加固。

首先，API Server作为管理节点的入口，需要确保关闭匿名访问、通过TLS加密通道、限定匿名访问API Server的权限，并进行健康检查等，也可对API Server增加防火墙等额外防护；对于kubelet的证书，要实现轮换机制； 其次，保障作为存储集群配置和状态信息的etcd的安全，需要考虑加密存储。因为只能有Kubernetes控制平面组件能与etcd有业务通信，所以还可以使用网络防火墙来阻止来自其他来源的流量到达etcd集群。 再次，集群配置设置的安全验证，可以考虑与建议的测试对照验证，也可以考虑渗透测试的方法检查有无弱点。最后，CIS提供了Kubernets安全设置基线的最佳实践。虽然所有的建议配置并不完全适合您的环境，您可根据基线检查发现您没有意识到的不安全的设置。