Kubespray项目中的Kubernetes集群安全加固指南

Kubespray项目中的Kubernetes集群安全加固指南

kubespray 一个基于Ansible的Kubernetes集群部署工具，提供自动化部署、集群管理等功能。 - 功能：Kubernetes集群部署、节点管理、容器管理、存储管理、网络管理等。 - 特点：基于Ansible；支持多种Kubernetes版本；支持离线安装；易于上手。 项目地址: https://gitcode.com/gh_mirrors/ku/kubespray

前言

在当今云原生环境中，Kubernetes集群的安全性至关重要。Kubespray作为一款流行的Kubernetes部署工具，提供了全面的集群安全加固方案。本文将详细介绍如何使用Kubespray对Kubernetes集群进行安全加固，使其符合CIS基准要求。

安全加固前提条件

在开始安全加固前，请确保满足以下要求：

1. Kubernetes版本至少为v1.23.6，以获得最新的安全功能支持
2. 使用最新版本的Kubespray，确保所有安全配置可用
3. 检查其他配置不会覆盖安全加固设置

核心安全配置详解

API Server安全配置

API Server是Kubernetes集群的入口，其安全配置至关重要：

authorization_modes: ['Node', 'RBAC']  # 启用RBAC授权模式
kube_apiserver_request_timeout: 120s   # 设置请求超时时间
kube_apiserver_service_account_lookup: true  # 验证服务账户是否存在

# 审计日志配置
kubernetes_audit: true
audit_log_path: "/var/log/kube-apiserver-log.json"
audit_log_maxage: 30
audit_log_maxbackups: 10
audit_log_maxsize: 100

# TLS安全配置
tls_min_version: VersionTLS12
tls_cipher_suites:
  - TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  - TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  - TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

# 静态数据加密
kube_encrypt_secret_data: true
kube_encryption_resources: [secrets]
kube_encryption_algorithm: "secretbox"

准入控制器配置

准入控制器提供了额外的安全层：

kube_apiserver_enable_admission_plugins:
  - EventRateLimit      # 限制事件速率
  - AlwaysPullImages    # 强制每次拉取镜像
  - ServiceAccount      # 服务账户管理
  - NamespaceLifecycle  # 命名空间生命周期管理
  - NodeRestriction     # 节点限制
  - LimitRanger         # 资源限制
  - ResourceQuota       # 资源配额
  - PodSecurity         # Pod安全策略

控制器管理器与调度器安全

# 控制器管理器绑定本地地址
kube_controller_manager_bind_address: 127.0.0.1
kube_controller_terminated_pod_gc_threshold: 50

# 调度器绑定本地地址
kube_scheduler_bind_address: 127.0.0.1

Kubelet安全配置

Kubelet是节点上的关键组件，需要特别加固：

kubelet_authorization_mode_webhook: true
kubelet_authentication_token_webhook: true
kube_read_only_port: 0  # 禁用只读端口
kubelet_rotate_server_certificates: true  # 自动轮换证书
kubelet_protect_kernel_defaults: true  # 保护内核默认参数
kubelet_seccomp_default: true  # 启用seccomp默认配置
kubelet_systemd_hardening: true  # 系统级加固

# 安全地址限制
kubelet_secure_addresses: "localhost link-local {{ kube_pods_subnet }} 192.168.10.110 192.168.10.111 192.168.10.112"

Pod安全策略

Kubernetes v1.23+引入了PodSecurity准入控制器替代旧的PSP：

kube_pod_security_use_default: true
kube_pod_security_default_enforce: restricted

此配置会应用限制性安全策略，默认拒绝不安全的Pod运行。

实施安全加固

准备好安全配置文件后，使用以下命令部署加固后的集群：

ansible-playbook -v cluster.yml \
        -i inventory.ini \
        -b --become-user=root \
        --private-key ~/.ssh/id_ecdsa \
        -e "@vars.yaml" \
        -e "@hardening.yaml"

安全加固效果评估

实施上述配置后，集群将获得以下安全提升：

1. 所有API通信使用强加密算法
2. 细粒度的访问控制(RBAC)
3. 全面的审计日志记录
4. 静态数据加密保护
5. 节点级别的安全限制
6. 自动证书轮换机制
7. 默认应用Pod安全标准

注意事项

1. 在AppArmor支持的系统中(如Debian/Ubuntu)，可以取消相关注释启用AppArmor支持
2. 生产环境中应考虑根据实际需求调整审计日志配置
3. 证书轮换机制需要确保CSR自动批准配置正确
4. 网络策略应根据实际网络拓扑调整

通过Kubespray的这些安全配置，您可以快速部署一个符合安全最佳实践的Kubernetes集群，为业务应用提供坚实的基础安全防护。

kubespray 一个基于Ansible的Kubernetes集群部署工具，提供自动化部署、集群管理等功能。 - 功能：Kubernetes集群部署、节点管理、容器管理、存储管理、网络管理等。 - 特点：基于Ansible；支持多种Kubernetes版本；支持离线安装；易于上手。 项目地址: https://gitcode.com/gh_mirrors/ku/kubespray