Rancher Hardening Guide v2.3.5

《Rancher Hardening Guide v2.3.5》提供了针对生产环境安装Rancher v2.3.5的强化配置指导，旨在遵循Center for Information Security (CIS)的Kubernetes基准要求，确保集群的安全性。 ### 核心内容总结 1. **内核运行时参数配置** - 推荐在所有节点类型上启用以下sysctl参数： ```bash vm.overcommit_memory=1 vm.panic_on_oom=0 kernel.panic=10 kernel.panic_on_oops=1 ``` - 这些参数有助于优化内存管理和系统稳定性。 2. **etcd用户和组配置** - 创建特定的用户和组（例如`etcd`用户，UID和GID为52034），以确保etcd服务的安全性和权限控制。 3. **网络策略配置** - 所有命名空间必须定义网络策略，以限制网络通信并提升安全性。 - 提供了一个默认的`default-allow-all.yaml`网络策略模板，但此策略仅用于测试，不推荐在生产环境中使用。 4. **RKE集群配置** - 提供了参考的`cluster.yml`配置，用于实现硬化的RKE安装。关键配置包括： - 默认Pod安全策略模板设置为`restricted`，以限制容器的权限。 - 启用网络策略和生成服务证书。 - 配置了审计日志和准入控制功能，如速率限制和tls-cipher-suites。 5. **Ubuntu 18.04 LTS云配置** - 提供了用于云环境的参考云配置，包括安装Docker、设置sysctl参数和创建用户组等步骤，以确保操作系统和容器运行环境的安全性。 ### 重要注意事项 - 部署Kubernetes到离线环境时，请参考文档中的自定义RKE镜像配置。 - 网络策略的使用需谨慎，生产环境中应根据实际需求定义严格的网络访问控制。 ### 总结 该文档为Rancher v2.3.5的生产环境部署提供了全面的安全强化指导，涵盖内核参数、用户权限、网络策略和集群配置等多个方面，旨在帮助用户构建安全可靠的Kubernetes集群。