Описание тега kubernetes-security
0
ответов
Как определить, является ли учетная запись Kubernetes служебной учетной записью?
Я смотрю на реализацию пользовательского сервиса авторизации веб-хуков для Kubernetes. Мне интересно, чтобы это применялось только к не-сервисным учетным записям, то есть к пользователям, которые управляются за пределами Kubernetes. Есть ли способ о…
05 дек '17 в 16:00
2
ответа
Требуется ли проверка подлинности для служб RESTful, взаимодействующих друг с другом в кластере Kubernetes?
У нас есть микросервисная архитектура, и есть REST-сервисы, взаимодействующие друг с другом через HTTP. Все эти сервисы размещены в кластере Kubernetes. Нужно ли нам иметь явную аутентификацию для такого взаимодействия сервисов, или Kubernetes обесп…
19 авг '18 в 16:57
1
ответ
Загрузка TLS, -token-auth-file, пользователь "system:anonymous" не может создавать запросы на подпись сертификатов
Почему я установил --token-auth-file на api-сервер и установил --bootstrap-kubeconfig на рабочем узле, мне было указано имя пользователя "kubelet-bootstrap" на apiserver и рабочем узле, и я получил сообщение об ошибке: Пользователь "system:anonymous…
21 авг '18 в 09:18
1
ответ
Ограничить доступ к кластеру kubernetes на облачной платформе Google
Мы создали 2 разных кластера Kubernetes на облачной платформе Google, один для разработки, а другой для производства. Члены нашей команды имеют роль "редактора" (поэтому они могут создавать, обновлять, удалять и перечислять модули) Мы хотим ограничи…
13 янв '18 в 20:50
3
ответа
Как настроить белый список анонтаций Kubernetes Ingress Nginx только для http
Я настроил мой входной SSL поддержки: apiVersion: extensions/v1beta1 kind: Ingress metadata: name: "service" annotations: nginx.ingress.kubernetes.io/whitelist-source-range: "x.x.x.x/xx" nginx.ingress.kubernetes.io/ssl-redirect: "false" spec: tls: -…
09 июл '18 в 15:30
1
ответ
Секреты Kubernetes и весенняя конфигурация загрузки
Наш сервис работает в кластере kubernetes. Я пытаюсь сделать наш сервис защищенным с помощью SSL. Для этого я добавил в application.properties: security.require-ssl=true server.ssl.key-store-type=JKS server.ssl.key-store=serviceCertificates.jks serv…
17 июн '18 в 10:50
1
ответ
Доступ к Kubernetes API без kubectl
Я пытаюсь получить доступ к API Kubernetes напрямую без запуска kubectl -proxy, Но когда я использую токен учетной записи службы по умолчанию, я получаю 403. Даже после создания ClusterRole и ClusterRoleBinding для этой учетной записи, запрос отклон…
14 дек '17 в 12:44
0
ответов
Выделение модуля kubernetes через NetworkPolicy и Calico, так что только прокси-сервер apiserver может общаться с ним
Я пытаюсь изолировать kubernetes-dashboard Развертывание через NetworkPolicy правила, так что нет капсулы, но apiserver может получить к нему доступ. Моя идея состоит в том, чтобы отключить аутентификацию в панели мониторинга и полагаться на правила…
08 ноя '17 в 09:03
12
ответов
Где я могу получить список ресурсов и субресурсов API Kubernetes?
Я пытаюсь настроить RBAC в Kubernetes как можно менее допустимым способом и хочу распределить свои роли по конкретным ресурсам и подресурсам. Я просмотрел документы и не могу найти краткий список ресурсов и их подресурсов. Меня особенно интересует п…
21 мар '18 в 01:10
3
ответа
Безопасный доступ к частному репозиторию helm
Это вообще возможно с рулем? Какие варианты безопасности возможны (BasicAuth? Клиентские сертификаты? OAuth2?) Есть ли какой-нибудь пример / документация по этому поводу (как на стороне сервера, так и на стороне клиента)?
19 июл '17 в 15:46
1
ответ
Кубернетес через интернет
У моего провайдера VPS нет возможности иметь частную сеть между VS. Таким образом, мастер и узлы связаны через Интернет. Это достаточно безопасная практика? Или лучше перейти на AWS?
25 фев '18 в 23:06
1
ответ
Расшифровка kubernetes master api звонков
Команда, я запускаю kubectl со своего ноутбука и записал след Wireshark того же самого. Как я могу расшифровать трафик, попадающий на сервер API? пример: мы расшифровываем вызовы http, используя закрытый ключ веб-сервера. в мире k8s, как бы я расшиф…
06 июн '18 в 08:07
1
ответ
Включение SSL на кубернатах в GCE
Я нахожусь в процессе включения HTTPS для наших кластеров kubernates в GCE. Я пытаюсь использовать Кубернатс Ingress У меня есть сертификат и секретный ключ, и я создал секрет с этими добавленными (ssl-secret): apiVersion: v1 kind: Secret metadata: …
31 авг '17 в 14:05
1
ответ
Кубернетес: внутрикластерная изоляция приложений
Я экспериментировал с k8s/kops/aws люкс. Пока что дела идут довольно хорошо (за исключением проблемы при обновлении кластера через kops) Я хочу иметь возможность использовать мои существующие ресурсы / кластер и развернуть 2 варианта моего приложени…
11 янв '18 в 08:53
0
ответов
Идентифицирует ли webhook аутентификации Kubernetes учетные записи служб?
Я не хочу (не могу) использовать секреты в Кубернетесе. Это корпоративная регулируемая среда, и нам просто неудобно хранить секреты внутри Kubernetes: пока в любом случае не будет настраиваемого уровня хранения секретов, то есть чего-то вроде Vault.…
27 ноя '17 в 17:57
1
ответ
Что означает конфигурация клиент-сертификата пользователя Kubernetes webhook?
Мне нужно реализовать пользовательский модуль аутентификации и авторизации для Kubernetes. Это должно быть сделано через веб-хук. Документация по веб-заездам по аутентификации и авторизации описывает файл конфигурации, с которым необходимо запустить…
27 ноя '17 в 12:32
1
ответ
kubernetes: войдите в личный кабинет как администратор
Я развернул k8s кластер в aws с помощью kops, Процесс создал ~./kube/config файл со следующей структурой: apiVersion: v1 clusters: - cluster: certificate-authority-data: <data_here> name: <cluster_name> contexts: - context: cluster: <…
09 янв '18 в 14:40
1
ответ
kubernetes: файл CA при развертывании через копы
Я создал кластер на aws с помощью kops, Однако я не могу найти файл, используемый как / центром сертификации для порождения клиентских сертификатов. Есть ли kops создать такую вещь по умолчанию? Если да, каков рекомендуемый процесс создания клиент…
09 янв '18 в 16:10
1
ответ
Подключить к терминалу оболочки другого контейнера в контейнере
Когда я определяю несколько контейнеров в шаблоне pod/pod как один запущенный контейнер agent и другой php-fpmкак они могут получить доступ друг к другу? мне нужно agent container подключиться к php-fpm оболочкой и нужно выполнить несколько шагов в …
11 сен '17 в 03:24
1
ответ
В Kubernetes 1.6 при использовании аутентификации ssl служба Kubelet не может запуститься, почему?
Когда я выполняю команду "systemctl start kubelet ", результат показывает "ошибка: не удалось запустить kubelet: не удается создать запрос на подпись сертификата: сервер запросил у клиента учетные данные (post certificateigningrequests.certificates.…
27 июл '17 в 05:52