Rancher Hardening Guide v2.4

《Rancher Hardening Guide v2.4》提供了针对生产环境中 Rancher v2.4 的加固指导，旨在遵循 Kubernetes 基准（CIS）的要求，确保集群的安全性。以下是文档的核心内容总结： ### 1. **文档概述** - 文档目标：为 Rancher v2.4 的生产环境提供安全加固指导，遵循 Kubernetes v1.15 和 CIS 基准 v1.5。 - 适用范围：适用于 Rancher v2.4 和 Kubernetes v1.15 的安装和配置。 - 参考文件：CIS 基准 Rancher 自评估指南（Rancher v2.4）。 ### 2. **主要配置与要求** - **内核运行时参数**：需配置内核参数以符合安全要求。 - **etcd 用户与组**：确保 etcd 运行用户和组的安全性。 - **网络策略**：所有命名空间必须定义网络策略，使用 `canal` 作为 CNI 插件，默认策略需符合安全要求。 - **默认 pod 安全策略**：设置 `default_pod_security_policy_template_id: restricted`，限制默认服务账户的权限。 - **RKE 模板配置**：提供参考的 RKE 模板配置，用于实现硬化的 Kubernetes 安装。 ### 3. **已知问题** - **节点注册问题**：若仅提供公有 IP，`rancher exec shell` 和查看日志功能不可用，需提供私有 IP。 - **服务账户权限问题**：设置 `restricted` 策略时，默认服务账户可能与 CIS 要求冲突。 ### 4. **网络策略示例** - **默认允许所有流量**：提供一个宽松的网络策略示例 `default-allow-all.yaml`，但不建议在生产环境中使用。 - **脚本应用策略**：通过 `apply_networkPolicy_to_all_ns.sh` 脚本将策略应用到所有命名空间。 ### 5. **RKE 集群配置** - 使用 `cluster.yml` 配置文件实现硬化的 Kubernetes 安装，包括以下关键配置： - 启用网络策略 (`enable_network_policy: true`)。 - 设置默认 pod 安全策略模板 (`default_pod_security_policy_template_id: restricted`)。 - 配置 Rancher 相关设置，如 `addon_job_timeout` 和 `addons`。 ### 总结 该文档为 Rancher v2.4 的生产环境提供了全面的安全加固指导，强调了网络策略、pod 安全策略和 RKE 模板配置的重要性，同时指出了实施过程中需要注意的问题。