Rancher Hardening Guide Rancher v2.1.x

语言	格式	评分
英语	.pdf	3
摘要
Rancher_Hardening_Guide.md 11/30/2018 1 / 24 Rancher Hardening Guide Rancher v2.1.x Version: 0.1.0 - November 26th 2018 Overview This document provides prescriptive guidance for hardening a production installation of Rancher v2.1.x. It outlines the configurations and controls required to address CIS-Kubernetes benchmark controls. Rancher CIS-Kubernetes self assessment using RKE This document has been created by the Engineering team at Rancher Labs. Profile Definitions The following profile defini
AI总结
以下是对《Rancher Hardening Guide Rancher v2.1.x》文档内容的简要总结，重点突出核心观点和关键信息： --- ### 文档概述该文档提供了硬化Rancher v2.1.x生产环境安装的指南，包含配置和控制措施，以满足CIS Kubernetes基准控制要求。文档由Rancher Labs工程团队创建，适用于Rancher HA Kubernetes集群和管理控制平面的安全配置。 --- ### 配置分级文档定义了两种配置档次： - Level 1：提供实用且对环境影响较小的安全建议，适用于大多数环境。 - Level 2：扩展Level 1，适用于安全要求极高的环境，可能对性能或功能性有一定影响。 --- ### Rancher HA Kubernetes集群主机配置 1. 默认sysctl设置配置所有主机的sysctl设置，以提高安全性。 2. 加密配置在控制平面节点上创建加密配置文件（/etc/kubernetes/encryption.yaml），确保Kubernetes秘密存储加密。 3. kubelet选项配置kubelet参数，如启用保护内核默认值、限制流式连接超时等。 4. 保护内核默认值防止 kubelet 更改内核默认值。 5. 事件速率限制配置事件速率限制文件（/etc/kubernetes/admission.yaml和[event.yaml]）。 --- ### Rancher管理控制面配置 1. RBAC（基于角色的访问控制） - 限制管理员权限，只赋予需要的用户管理员角色。 - 审计管理员权限分配，确保符合策略。 2. 身份验证 - 更改默认的local admin密码。 - 配置外部身份提供商（如LDAP、SAML或OIDC），整合企业认证系统。 3. 审计日志启用Rancher的内置审计日志功能，监控用户操作，记录日志到指定位置。 4. 配置管理 - 禁用Rancher UI中的本地集群选项（需Rancher v2.1.2及以上）。 - 只允许批准的节点驱动器（Node Drivers）激活，禁用不必要的驱动器。 --- ### Rancher HA Kubernetes集群配置（via RKE）提供了完整的RKE集群配置示例（cluster.yml），涵盖节点配置、服务选项和kubelet参数设置。 --- ### 总结文档提供了Rancher v2.1.x生产环境硬化的全面的配置指南，涵盖主机安全、控制平面保护、认证与授权、审计日志等关键领域，确保Rancher集群的安全性和合规性。