集群的安全性主要考虑以下几个方面:
- 容器与所在宿主机的隔离;
- 限制容器给基础设施及其他容器带来消极影响的能力;
- 最小权限原则--合理限制所有组件的权限,确保组件只执行它被授权的行为,通过限制单个组件的能力来限制它所能达到的权限范围;
- 明确组件边界的划分;
- 划分普通用户和管理员的角色;
- 在必要的时候允许将管理员权限赋给普通用户;
- 允许拥有“Secret”数据(Keys,Cert,Passwords)的应用在集群中运行。
Kubernetes集群提供的三种级别的客户端身份认证方式:
- 最严格的HTTPS证书认证:基于CA根证书签名的双向数字证书认证方式;
- HTTPS Token认证:通过一个Token来识别合法用户;
- HTTP Base认证:通过用户名+密码的方式认证;、