怎么使用Sidecar代理加強(qiáng)Kubernetes安全性

今天就跟大家聊聊有關(guān)怎么使用Sidecar代理加強(qiáng)Kubernetes安全性，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

公司主營(yíng)業(yè)務(wù)：網(wǎng)站設(shè)計(jì)制作、做網(wǎng)站、移動(dòng)網(wǎng)站開(kāi)發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競(jìng)爭(zhēng)能力。成都創(chuàng)新互聯(lián)公司是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開(kāi)放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對(duì)我們的高要求，感謝他們從不同領(lǐng)域給我們帶來(lái)的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來(lái)驚喜。成都創(chuàng)新互聯(lián)公司推出溫州免費(fèi)做網(wǎng)站回饋大家。

導(dǎo)語(yǔ)

Sidecar可以幫助簡(jiǎn)化應(yīng)用程序開(kāi)發(fā)，但是每種方法都有其自身的安全注意事項(xiàng)。

典型的應(yīng)用程序需要共同的功能，例如日志記錄，監(jiān)視，跟蹤，配置和安全性。這些功能可以作為應(yīng)用程序代碼的一部分實(shí)現(xiàn)，也可以作為單獨(dú)的進(jìn)程在應(yīng)用程序代碼之外運(yùn)行。

每種選擇都有優(yōu)點(diǎn)和缺點(diǎn)，但是在現(xiàn)代的云原生方法中，趨勢(shì)是將那些常見(jiàn)任務(wù)與應(yīng)用程序核心功能代碼分離。這種脫鉤的原理是在應(yīng)用程序堆棧常見(jiàn)任務(wù)中創(chuàng)建一致性，這在大型分布式應(yīng)用程序中至關(guān)重要。它還消除了對(duì)每種語(yǔ)言的依賴和維護(hù)專用庫(kù)的需要，從而使編程語(yǔ)言的選擇更加靈活。

專為微服務(wù)而設(shè)計(jì)的容器架構(gòu)是單獨(dú)維護(hù)的，并用不同的語(yǔ)言編寫(xiě)，從而使開(kāi)發(fā)人員無(wú)需重寫(xiě)相似的開(kāi)發(fā)代碼來(lái)實(shí)現(xiàn)單個(gè)功能。

例如，如果開(kāi)發(fā)團(tuán)隊(duì)正在用Go編寫(xiě)主應(yīng)用程序，并且存在用Python編寫(xiě)的現(xiàn)有功能來(lái)收集日志和指標(biāo)，那么將Python代碼卸載到Sidecar中的效率要比要求開(kāi)發(fā)團(tuán)隊(duì)將其重寫(xiě)為走。通用任務(wù)與部署在任何核心應(yīng)用程序服務(wù)旁邊的獨(dú)立統(tǒng)一服務(wù)的解耦稱為“ sidecar”架構(gòu)。

邊車在很大程度上取決于主要應(yīng)用。附加在sidecar中的外圍任務(wù)只有在附加到主應(yīng)用程序后才能實(shí)現(xiàn)，因此對(duì)于應(yīng)用程序的每個(gè)實(shí)例，sidecar實(shí)例都與它并排部署。裝載在Sidecar上的每個(gè)外圍任務(wù)都是單獨(dú)的功能，可以獨(dú)立添加或刪除，以任何語(yǔ)言編寫(xiě)和單獨(dú)更新，而不會(huì)影響主應(yīng)用程序代碼。

它們獨(dú)立于運(yùn)行時(shí)和編程語(yǔ)言運(yùn)行，并且可以訪問(wèn)與主應(yīng)用程序相同的資源。在Kubernetes集群中，可以將sidecar部署為Kubernetes DaemonSet或sidecar代理。這些選項(xiàng)各有利弊。

守護(hù)程序集

Kubernetes中的經(jīng)典方法是使用DaemonSet。DaemonSet是Pod的副本，群集中的所有節(jié)點(diǎn)都在此Pod上運(yùn)行。創(chuàng)建包含共享功能（例如日志記錄指標(biāo)，性能或配置）的容器或容器時(shí)，它將在群集中的每個(gè)節(jié)點(diǎn)上運(yùn)行，并將這些功能提供給共享該節(jié)點(diǎn)的其他容器。

實(shí)際上，例如，在收集度量標(biāo)準(zhǔn)時(shí)，一個(gè)DaemonSet Pod會(huì)為共享同一節(jié)點(diǎn)的所有Pod提供服務(wù)，而不管它們的類型，功能以及它們是否正在運(yùn)行副本集或彼此獨(dú)立。

Sidecar代理

Sidecar代理提供了更精細(xì)的方法。Sidecar代理中的功能在每個(gè)Pod中分別提供微服務(wù)。代理容器在包含微服務(wù)的Pod內(nèi)部運(yùn)行，并且僅承載該微服務(wù)所需的功能，從而使代理保持輕量級(jí)。

DaemonSet與Sidecar代理

結(jié)構(gòu)上的考慮：在高度分隔雜物箱的環(huán)境中（例如，一個(gè)用于日志記錄的容器，另一個(gè)用于度量收集的容器和另一個(gè)用于性能的容器），每個(gè)吊艙必須攜帶三個(gè)雜物容器。這導(dǎo)致資源利用效率低下，因?yàn)榇蟛糠仲Y源正在完成相同的常見(jiàn)任務(wù)，而不是為核心應(yīng)用程序提供服務(wù)。在這種情況下，使用DaemonSet而不是每個(gè)吊艙使用多個(gè)容器更為有效。

可用性：部署新的Sidecar容器需要重新啟動(dòng)整個(gè)Pod。每個(gè)吊艙中都有多個(gè)容器，要保持交付效率，就需要專注于核心服務(wù)的DevOps團(tuán)隊(duì)與從事常見(jiàn)任務(wù)以及此類同步的DevOps團(tuán)隊(duì)之間保持緊密的同步。實(shí)現(xiàn)這種同步無(wú)疑是很難實(shí)現(xiàn)的。

如果開(kāi)發(fā)周期不同步，則在部署新的DaemonSet或更新現(xiàn)有的DaemonSet時(shí)會(huì)導(dǎo)致潛在的停機(jī)時(shí)間。

DaemonSets的安全性

使用DaemonSet，可以在容器級(jí)別配置安全設(shè)置，其中包含特權(quán)定義，卷訪問(wèn)權(quán)限，資源分配，二進(jìn)制授權(quán)以及與容器部署相關(guān)的任何內(nèi)容的詳細(xì)信息。

但是，在DaemonSet環(huán)境中，容器作為特權(quán)容器運(yùn)行。盡管它簡(jiǎn)化了容器部署或容器的主機(jī)保護(hù)的驗(yàn)證，但它對(duì)容器行為的監(jiān)視提出了挑戰(zhàn)，因?yàn)橄嗤娜萜鳎ㄒ卜Q為副本集）可能在不同的節(jié)點(diǎn)上運(yùn)行。

當(dāng)對(duì)多個(gè)容器應(yīng)用類似的策略時(shí)，惡意行為者在容器之間橫向移動(dòng)將構(gòu)成永久風(fēng)險(xiǎn)。它還無(wú)法解決用于節(jié)點(diǎn)間通信的基于網(wǎng)絡(luò)的隔離和隧道加密。

Sidecar代理的安全性

為了保護(hù)網(wǎng)絡(luò)層，sidecar代理是理想的。從主應(yīng)用程序卸載后，它們：

與語(yǔ)言無(wú)關(guān)，因此無(wú)需使加密適應(yīng)庫(kù)中的每種語(yǔ)言。

支持創(chuàng)建統(tǒng)一和/或目標(biāo)特定策略和特權(quán)訪問(wèn)。

管理隧道加密。

管理內(nèi)部集群通信。

但是，這些代理沒(méi)有DaemonSet功能來(lái)監(jiān)視和驗(yàn)證容器級(jí)別的安全設(shè)置。

最大化容器安全

為了充分利用Sidecar代理和DaemonSet安全功能的優(yōu)勢(shì)，可以使用Kubernetes本機(jī)機(jī)制，稱為準(zhǔn)入控制器。將專用的準(zhǔn)入控制器與Sidecar代理結(jié)合使用，可以創(chuàng)建解決所有潛在容器威脅選項(xiàng)的整體安全套件。

使用Kubernetes，準(zhǔn)入控制器用戶可以為Pod創(chuàng)建和部署設(shè)置細(xì)粒度的授權(quán)。在容器級(jí)別，可以利用它來(lái)阻止容器作為根容器運(yùn)行，或者確保容器的根文件系統(tǒng)被鎖定為只讀模式。它可以限制僅從批準(zhǔn)的特定注冊(cè)表中提取圖像，并拒絕未知的圖像注冊(cè)表。

使用Kubernetes準(zhǔn)入控制器和服務(wù)網(wǎng)格控制器

為了增強(qiáng)運(yùn)行時(shí)安全性，使用專用的準(zhǔn)入控制器可以管理關(guān)鍵的安全功能，例如：

二進(jìn)制授權(quán)：策略執(zhí)行的瓶頸，將您環(huán)境中的部署限制為已簽名和授權(quán)的映像

連續(xù)漏洞掃描：在部署之前和之后，連續(xù)掃描檢查是否存在超出預(yù)定義閾值的漏洞

在Pod部署設(shè)置中配置Pod安全策略（PSP）

使用Selinux，Seccom和AppArmor管理Pod部署

下一代Kubernetes工作負(fù)載保護(hù)解決方案從CI / CD管道的上游啟動(dòng)，自動(dòng)識(shí)別合法工作負(fù)載。運(yùn)行時(shí)策略確保僅將這些工作負(fù)載部署到群集。

這樣，通過(guò)使用與網(wǎng)絡(luò)基礎(chǔ)架構(gòu)分離的基于身份的自動(dòng)工作負(fù)載安全性替換多個(gè)碎片化的防火墻，安全組和ACL，可以簡(jiǎn)化和加速應(yīng)用程序的安全性。

看完上述內(nèi)容，你們對(duì)怎么使用Sidecar代理加強(qiáng)Kubernetes安全性有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝大家的支持。

當(dāng)前題目：怎么使用Sidecar代理加強(qiáng)Kubernetes安全性
標(biāo)題路徑：http://muchs.cn/article40/gdscho.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站維護(hù)、定制網(wǎng)站、電子商務(wù)、動(dòng)態(tài)網(wǎng)站、外貿(mào)網(wǎng)站建設(shè)、搜索引擎優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)