超级会员免费看
Kubernetes 安全与可观测性策略
1. 威胁防御与可观测性概述
在构建安全策略时,可收集知名威胁源的域名,或记录被策略拒绝的未聚合网络流量。不过,威胁防御技术不断发展,需要安全研究团队协助理解应用并构建威胁模型。
可观测性对于监控和保障像 Kubernetes 这样的分布式系统的安全非常有用。Kubernetes 抽象了许多细节,不能简单地收集、独立设定基线和监控单个指标,而需要在 Kubernetes 上下文中监控这些指标。例如,与服务或部署关联的 Pod 重启并以不同的二进制文件运行,或者 Pod 活动与同一部署中的其他 Pod 不同。当应用包含多个由多个 Pod 支持的微服务时,情况会变得更加复杂。
可观测性在 Kubernetes 工作负载的故障排除和安全监控方面具有重要作用,以 Kubernetes 中服务的可观测性为例,它能实现以下功能:
- 以服务图的形式可视化 Kubernetes 集群,展示 Pod 与服务的关联以及服务之间的通信流。
- 将应用(第 7 层)和网络流量(第 3/4 层)作为单独的层叠加在服务图上,便于确定应用和底层网络的流量模式和负载。
- 查看 Pod 部署节点的元数据,如 CPU、内存或主机操作系统详细信息。
- 查看与 Pod 操作、流量负载、应用延迟(如 HTTP 持续时间)、网络延迟(网络往返时间)或 Pod 操作(如 RBAC 策略、服务账户或容器重启)相关的指标。
- 查看给定服务(支持该服务的 Pod)的 DNS 活动(DNS 响应代码、延迟、负载)。
- 跟踪需要跨多个服务进行通信的用户事务,即分布式跟踪。
- 查看给定服务与外部实体的网络通信。 <
订阅专栏 解锁全文
扫一扫
55
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
