Rancher Hardening Guide v2.3.5
191.56 KB
21 页
0 评论
| 语言 | 格式 | 评分 |
|---|---|---|
英语 | .pdf | 3 |
| 摘要 | ||
本文档提供了针对Rancher v2.3.5和Kubernetes v1.15的生产环境加固指南,概述了满足CIS Kubernetes基准控制所需的配置和设置。内容包括内核运行时参数配置、etcd用户和组设置、网络策略定义、RKE集群配置模板以及相关安全最佳实践。指南还提到了服务帐户权限管理、日志审计功能启用和TLS加密配置等关键安全措施。 | ||
| AI总结 | ||
《Rancher Hardening Guide v2.3.5》提供了在生产环境中加固Rancher v2.3.5的具体指南,旨在通过配置和控制来解决Kubernetes的CIS基准问题。以下是文档的主要内容总结:
---
### **文档概述**
- **目标**:提供Rancher v2.3.5与Kubernetes v1.15的安全加固指南,确保符合CIS Kubernetes Benchmark v1.5的要求。
- **版本对应**:
- Hardening Guide v2.3.5
- Rancher v2.3.5
- CIS Kubernetes Benchmark v1.5
- Kubernetes v1.15
---
### **核心内容**
#### 1. **配置内核运行时参数**
- **目的**:优化内核性能和安全性。
- **配置文件**:/etc/sysctl.d/90-kubelet.conf
- **推荐参数**:
```yaml
vm.overcommit_memory=1
vm.panic_on_oom=0
kernel.panic=10
kernel.panic_on_oops=1
kernel.keys.root_maxbytes=25000000
```
- **启用方法**:运行`sysctl -p /etc/sysctl.d/90-kubelet.conf`。
---
#### 2. **配置etcd用户和组**
- **目的**:为etcd服务创建专用用户和组,确保其运行在受限环境中。
- **创建命令**:
```bash
addgroup --gid 52034 etcd
useradd --comment "etcd service account" --uid 52034 --gid 52034 etcd
```
- **配置**:在RKE配置文件中设置etcd的UID和GID。
---
#### 3. **定义网络策略**
- **目的**:确保所有命名空间有网络策略,限制不必要的通信。
- **默认配置**:提供了一个允许所有流量的NetworkPolicy(`default-allow-all.yaml`),但不推荐用于生产。
- **应用脚本**:通过脚本`apply_networkPolicy_to_all_ns.sh`将NetworkPolicy应用到所有命名空间。
---
#### 4. **RKE集群配置**
- **核心配置项**:
```yaml
kubernetes_version: "v1.15.9-rancher1-1"
enable_network_policy: true
default_pod_security_policy_template_id: "restricted"
services:
etcd:
uid: 52034
gid: 52034
kube-api:
pod_security_policy: true
secrets_encryption_config:
enabled: true
audit_log:
enabled: true
admission_configuration:
event_rate_limit:
enabled: true
```
- **功能特性**:
- 启用NetworkPolicy。
- 配置默认Pod安全策略。
- 启用Secrets加密和审核日志。
---
#### 5. **RKE模板配置**
- **目的**:通过RKE模板实现加固的安装。
- **核心配置**:
```yaml
enable_network_policy: true
default_pod_security_policy_template_id: "restricted"
docker_root_dir: /var/lib/docker
enable_cluster_alerting: false
enable_cluster_monitoring: false
```
- **安全策略**:
- 获取运行时权限(`RunAsAny`)。
- 限制补集组和卷类型。
---
#### 6. **安全策略配置**
- **Pod安全策略(PSP)**:定义受限的PSP(`restricted`),以限制Pod的运行环境。
- **RBAC配置**:通过Role、ClusterRole、RoleBinding和ClusterRoleBinding控制权限,确保最小权限原则。
---
### **总结**
- 本文档为Rancher v2.3.5提供了详细的安全加固指南,涵盖内核参数、用户权限、网络策略、RBAC等多方面。
- 通过配置RKE集群和模板,可以确保Kubernetes集群符合CIS基准要求,提升生产环境的安全性。
- 配置时需严格遵循文档,避免遗漏关键安全设置。 | ||
P1
P2
P3
P4
P5
P6
P7
下载文档到本地,方便使用
- 可预览页数已用完,剩余
14 页请下载阅读 -
文档评分
分享用户
admin
文档
187
文章
0
码力
511
个性签名
暂无个性签名
相关文档
-
SUSE Rancher MSP Use
Cases & Enablement
-
Deploying and ScalingKubernetes with Rancher
-
Secrets Management at
Scale with Vault & Rancher
-
Hardening Guide - Rancher v2.3.3+
-
Rancher Hardening Guide Rancher v2.1.x
-
CIS Benchmark Rancher Self-Assessment Guide - v2.4
-
[Buyers Guide_DRAFT_REVIEW_V3] Rancher 2.6, OpenShift, Tanzu, Anthos
-
CIS 1.6 Benchmark - Self-Assessment Guide - Rancher v2.5.4
-
CIS 1.5 Benchmark - Self-Assessment Guide - Rancher v2.5
-
Rancher Hardening Guide v2.4