TuxNet DokuWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: security
it-wiki:kubernetes:security

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
it-wiki:kubernetes:security [2025/10/31 03:44] – [Beispiel: Namespace-Labelling] markoit-wiki:kubernetes:security [2025/10/31 03:55] (aktuell) – [Container und Container Image Security] marko
Zeile 103: Zeile 103:
 ---- ----
  
-===== Umsetzung im produktiven Cluster / Pod-Sicherheitsstandards auf Clusterebene =====+===== Pod-Sicherheitsstandards auf Clusterebene =====
 Es werden die folgenden Pod-Sicherheitsstandards auf die Version latest angewendet: Es werden die folgenden Pod-Sicherheitsstandards auf die Version latest angewendet:
   * baseline standard in enforce mode   * baseline standard in enforce mode
Zeile 115: Zeile 115:
 fehlschlagen, werden diese Namespaces von der Anwendung der Pod-Sicherheitsstandards ausgenommen. fehlschlagen, werden diese Namespaces von der Anwendung der Pod-Sicherheitsstandards ausgenommen.
  
-Bei der Implementierung von Pod Security Admission in der produktiven Umgebung sollte Folgendes beachtet werden:+Bei der Implementierung von Pod Security Admission auf Cluster Ebene sollte Folgendes beachtet werden:
   * Abhängig von der Risikobewertung eines Clusters könnte ein strengerer Pod-Sicherheitsstandard die bessere Wahl sein. Beispielsweise ''restricted''   * Abhängig von der Risikobewertung eines Clusters könnte ein strengerer Pod-Sicherheitsstandard die bessere Wahl sein. Beispielsweise ''restricted''
  
Zeile 150: Zeile 150:
       runtimeClasses: []       runtimeClasses: []
       # Array of namespaces to exempt.       # Array of namespaces to exempt.
-      namespaces: [kube-system,calico-system,longhorn-system,tigera-operator,trident]+      namespaces: [kube-system,calico-system]
 </code> </code>
  
 +<note>
 +<nowiki>--admission-control-config-file</nowiki>\\
 +Das obige Manifest muss über den kube-apiserver angegeben werden.
 +</note>
  
- +  - Bereiten Sie das Konfigurationsverzeichnis vor: <code bash>mkdir -p /etc/kubernetes/psa  
 +cp psa-config.yaml /etc/kubernetes/psa/</code> 
 +  - Ändern Sie die API-Serverkonfiguration: <code yaml>apiServer:  
 +  extraArgs:  
 +    admission-control-config-file:  /etc/kubernetes/psa/psa-config.yaml  
 +  extraVolumes:  
 +    -  name:  psa-config  
 +      hostPath:  /etc/kubernetes/psa  
 +      mountPath:  /etc/kubernetes/psa  
 +      readOnly:  true</code> 
 +  - Starten Sie den API-Server neu:\\ Nach der Aktualisierung der Konfiguration muss der API-Server neu gestartet werden, um die Änderungen anzuwenden. 
 +\\ 
 +\\
 ====== Container und Container Image Security ====== ====== Container und Container Image Security ======
 ===== trivy ===== ===== trivy =====
it-wiki/kubernetes/security.1761882284.txt.gz · Zuletzt geändert: von marko