Günümüzün modern altyapısını oluşturan mikro hizmetler neredeyse her zaman kapsayıcılar kullanılarak başlatılır ve bu mikro hizmetler günümüzün modern altyapısını dağıtmak için kullanılır. Konteynerler bir kuruluş tarafından çok sayıda kullanılabilir. Bu kapsayıcıların kolayca konuşlandırılıp yönetilebilmesi için yönetim yazılımına veya bir yönetim platformuna sahip olmaları gerekir.
Kubernetes, taşınabilir, uyarlanabilir ve açık kaynaklı bir platformdur. Kapsayıcılı iş yüklerini ve hizmetleri yönetmek için kullanılır ve otomasyonu kolaylaştırırken bildirimsel kurulum sağlar. Hızla genişleyen büyük bir ekolojiye sahiptir. Kubernetes hizmetleri, desteği ve araçları için önemli miktarda kullanılabilirlik vardır.
Kubernetes’in sağladığı güvenlik açısından, güvenlik önlemlerinin en etkili şekilde yürütülmesini sağlamada büyük yardımcı olacak yeni bir kabul denetleyicisini uygulamaya koydular. Kubernetes kümeleri, işlemlerini kabul denetleyicilerinin yardımıyla tanımlayabilir ve yönetebilir.
Kabul denetleyicileri, farklı türde eklentilerden oluşan bir koleksiyondur. Genellikle, nesne verileri yürütülmeden veya dağıtılmış anahtar/değer deposuna konulmadan önce Kubernetes API sunucusuna alınan istekleri işleyen ağ geçidi bekçileri olarak hareket ederler. Kubernetes kabul denetleyicisi, istek nesnelerinin yanı sıra istekleri tamamen reddetme, onaylama veya değiştirme yeteneğine sahiptir.
Kubernetes’te kabul denetleyicisini açmak oldukça basittir. Bir dizi farklı eklentiden oluşur. Bu eklenti, altyapının uygun şekilde korunmasını sağlar. Her ikisi de düzenli olarak güncelleme alan ResourceQuota ve podsecurity gibi bazı varsayılan eklentilerle önceden yüklenmiş olarak gelir.
Kabul Denetleyicisi ile Bölmeleri Güvende Tutmak İçin İpuçları
Kaynak
Kubernetes kabul denetleyicisinde çok sayıda farklı eklenti vardır ve bunların tümü, bölmeleri (bir grup kapsayıcı) çok çeşitli tehditlerden korumak için kullanılabilir. Bütün bunlar, bölmeleri güvence altına alma sürecinde kullanılabilir.
Güvenlik Standardına Göre Pod Kabul Etme
Esasen üç farklı kapsül politikası standardı vardır ve bunlara sırasıyla ayrıcalıklı, temel ve kısıtlı olarak atıfta bulunulur. Bu kuralların kümülatif etkisi, son derece izin verici olmaktan oldukça kısıtlayıcıya kadar değişebilir. Bu kabul denetleyicisi, bir bölmenin oluşturulmasına veya değiştirilmesine yanıt verir ve bölmenin güvenlik standartlarına bağlı olarak kabul edilip edilmeyeceğine karar verir.
Örneğin, kısıtlanmış ilke, bazı uyumluluklar pahasına mevcut pod sertleştirme en iyi uygulamalarını uygulamayı hedefler; örneğin, bu güvenlik ilkesine sahip pod’ların ayrıcalık yükseltmesine izin verilmezken kapsayıcıların içindeki kullanıcıların kök ayrıcalıklarına sahip olmaması gibi. Kabul edilen herhangi bir pod politikaya uymazsa, kabul edilmeyecektir. Bu nedenle, podların güvenlik duruşunu korur.
Kapsayıcıları Her Zaman Görüntü Çekmeye Zorlama
Kapsayıcılar hakkında konuştuğumuzda, genellikle bunlara Linux veya Ubuntu gibi temel bir imaja sahip olduklarından bahsediyoruz. Bir pod yerleştirdiğinizde, pod içinde yer alan tüm kapsayıcıların mümkün olan en yeni görüntülerle çalışması kesinlikle gereklidir. Konteyner görüntülerinin en son yapılarının tutarlı bir şekilde indirilmesini sağlamak bu denetleyicinin sorumluluğundadır.
Bir düğüm yeni görüntüler çekip kullandığında performans bir darbe alsa da, güncel olan kapsayıcı görüntülerini çalıştırmak önemlidir. Bunun nedeni, eski görüntüleri kullanmanın bir tehdit taşımasıdır. Bu görüntüde kullanılan bağımlılık paketleri hassas olabilir; yani, istismar edilirse tüm kümeyi tehlikeye atabilecek güvenlik açıkları içerebilirler.
Kaynak Kotasını Yönetme
Kubernetes kümeleri dağıtılırken ve çok sayıda ekip veya kullanıcı sabit sayıda düğüme sahip bir küme kullandığında, bir ekibin adil kaynak payından daha fazlasını kullanabileceğine dair bir endişe olması muhtemeldir. Bunun nedeni, kümedeki düğüm sayısının sabit olmasıdır.
Tahsis edilen kaynak miktarının tükenmesi durumunda, bölmelerin veya konteynerlerin kullanılamaz hale gelmesi olasıdır. Sonuç olarak, bu kabul denetleyicisi gelen tüm istekleri temel olarak izleyecek ve bu isteklerin ResourceQuota nesnesinde listelenen kısıtlamalardan herhangi birini ihlal etmemesini sağlayacaktır. bir Ad Alanında saklanır. Bu nedenle, kümeleri çok sayıda ekip kullanıyorsa, ResourceQuota’yı uygulamak önemlidir.
Çözüm
Kuruluşlar mikro hizmetlere ve kapsayıcılara giderek daha fazla bağımlı hale geldikçe, Kubernetes herhangi bir kuruluş için hayati bir bileşen haline geldi. Denetlediği çok sayıda küme ve kaynak göz önüne alındığında, yeterli güvenliğe sahip olması esastır.
Yapılandırılabilen ve tüm dağıtımı basitçe koruyan birçok eklenti olduğundan, kabul denetleyicisi bu işlemi kullanıcılar için çok basit ve anlaşılır hale getirir. Kümeler doğru yapılandırılmazsa, bir saldırganın güvenlik açıklarından veya yanlış yapılandırmadan faydalanması mümkündür. Bu nedenle, Kubernetes içinde yüksek düzeyde güvenlik uygulamak ve sürdürmek gereklidir.