安全

Kubernetes 文档的这一部分旨在帮助您学习更安全地运行工作负载，以及了解保持 Kubernetes 集群安全的必要方面。

Kubernetes 基于云原生架构，并借鉴了 CNCF 关于云原生信息安全的良好实践的建议。

阅读 云原生安全和 Kubernetes，以了解有关如何保护您的集群以及您在其中运行的应用程序的更广泛的背景。

Kubernetes 安全机制

Kubernetes 包括几个 API 和安全控制，以及定义 策略 的方法，这些策略可以成为您管理信息安全的一部分。

控制平面保护

任何 Kubernetes 集群的关键安全机制是 控制对 Kubernetes API 的访问。

Kubernetes 期望您配置并使用 TLS 来提供 传输中的数据加密 在控制平面内，以及控制平面与其客户端之间。您还可以启用 静态数据加密 用于存储在 Kubernetes 控制平面中的数据；这与为自己的工作负载数据使用静态数据加密是分开的，这可能也是一个好主意。

密钥

Secret API 为需要机密性的配置值提供基本保护。

工作负载保护

执行 Pod 安全标准 以确保 Pod 及其容器被适当隔离。您也可以使用 RuntimeClasses 来定义您需要的自定义隔离。

网络策略 允许您控制 Pod 之间或 Pod 与集群外部网络之间的网络流量。

您可以从更广泛的生态系统中部署安全控制，以实施围绕 Pod、其容器以及在其中运行的映像的预防性或侦测性控制。

审计

Kubernetes 审计日志记录 提供安全相关的、按时间顺序排列的记录集，记录了集群中操作的顺序。集群会审计用户、使用 Kubernetes API 的应用程序以及控制平面本身生成的活动。

云提供商安全

如果您在自己的硬件或其他云提供商上运行 Kubernetes 集群，请参阅您的文档以了解安全最佳实践。以下是针对一些流行的云提供商的安全文档的链接。

策略

您可以使用 Kubernetes 原生机制定义安全策略，例如 NetworkPolicy（对网络数据包过滤的声明式控制）或 ValidatingAdmissionPolicy（对某人可以使用 Kubernetes API 进行哪些更改的声明式限制）。

但是，您也可以依赖于围绕 Kubernetes 的更广泛生态系统中的策略实现。Kubernetes 提供扩展机制，让这些生态系统项目能够在其自己的策略控制上实现源代码审查、容器镜像批准、API 访问控制、网络等。

有关策略机制和 Kubernetes 的更多信息，请阅读 策略。

下一步

了解相关的 Kubernetes 安全主题

• 保护您的集群
• 已知漏洞 在 Kubernetes 中（以及指向更多信息的链接）
• 传输中的数据加密 用于控制平面
• 静态数据加密
• 控制对 Kubernetes API 的访问
• 网络策略 用于 Pod
• Kubernetes 中的 Secret
• Pod 安全标准
• RuntimeClasses

了解上下文

• 云原生安全和 Kubernetes

获得认证

• Kubernetes 安全专家认证 认证和官方培训课程。

在本节中阅读更多内容