kubespray安全加固指南：生产环境Kubernetes集群最佳实践

kubespray安全加固指南：生产环境Kubernetes集群最佳实践

【免费下载链接】kubespray 项目地址: https://gitcode.com/gh_mirrors/kub/kubespray

你是否在为Kubernetes集群的安全防护而困扰？生产环境中，一个未加固的集群可能面临数据泄露、未授权访问等严重风险。本文将基于Kubespray项目，提供一套完整的安全加固方案，帮助你构建符合CIS基准的安全集群。读完本文后，你将掌握API服务器防护、节点安全配置、数据加密、Pod安全策略等关键加固技术，并能通过Ansible一键部署安全配置。

安全加固基础与前提条件

Kubernetes集群的安全加固需要建立在一定的基础之上。首先，Kubernetes版本至少应为v1.23.6，以确保包含最新的安全特性，如PodSecurity准入插件等。同时，需确保使用最新版本的Kubespray，避免配置冲突。

官方文档：Cluster Hardening

安全加固配置文件结构

创建一个名为hardening.yaml的配置文件是实施加固的第一步。该文件将包含API服务器、控制器管理器、调度器、etcd、Kubelet等组件的安全配置。通过这种集中式配置，可以方便地管理各项安全策略，并通过Ansible-playbook应用到集群。

API服务器安全加固

API服务器作为Kubernetes集群的入口，其安全配置至关重要。以下是关键的加固项：

授权模式与准入控制

设置授权模式为Node和RBAC，启用必要的准入插件：

authorization_modes: ['Node', 'RBAC']
kube_apiserver_enable_admission_plugins:
  - EventRateLimit
  - AlwaysPullImages
  - ServiceAccount
  - NamespaceLifecycle
  - NodeRestriction
  - LimitRanger
  - ResourceQuota
  - MutatingAdmissionWebhook
  - ValidatingAdmissionWebhook
  - PodNodeSelector
  - PodSecurity

其中，AlwaysPullImages确保容器镜像每次都从仓库拉取，防止使用本地篡改的镜像；NodeRestriction限制节点只能修改自身相关资源；PodSecurity则实施Pod安全标准。

审计日志与事件速率限制

启用审计日志记录API操作，并配置事件速率限制防止DoS攻击：

# 启用审计日志
kubernetes_audit: true
audit_log_path: "/var/log/kube-apiserver-log.json"
audit_log_maxage: 30
audit_log_maxbackups: 10
audit_log_maxsize: 100

# EventRateLimit插件配置
kube_apiserver_admission_event_rate_limits:
  limit_1:
    type: Namespace
    qps: 50
    burst: 100
    cache_size: 2000
  limit_2:
    type: User
    qps: 50
    burst: 100

审计日志有助于事后追查安全事件，而事件速率限制则能保护API服务器免受恶意请求的冲击。

TLS配置与加密

配置TLS最小版本和密码套件，启用静态数据加密：

tls_min_version: VersionTLS12
tls_cipher_suites:
  - TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  - TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  - TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

# 启用静态数据加密
kube_encrypt_secret_data: true
kube_encryption_resources: [secrets]
kube_encryption_algorithm: "secretbox"

TLS配置确保通信安全，而静态数据加密则保护存储在etcd中的敏感信息。关于加密算法的选择，Secretbox是Kubespray的默认选择，它使用Poly1305作为消息认证码，XSalsa20作为加密算法，在安全性和性能之间取得了平衡。

加密算法详情：Encrypting Secret Data at Rest

Kubelet安全配置

Kubelet运行在每个节点上，其安全配置直接影响节点的安全性。

认证与授权

启用Kubelet的Webhook认证和授权，禁用只读端口：

kubelet_authorization_mode_webhook: true
kubelet_authentication_token_webhook: true
kube_read_only_port: 0

这些配置确保只有经过认证和授权的请求才能访问Kubelet API。

证书轮换与安全地址

启用证书自动轮换，限制Kubelet接受请求的IP地址：

kubelet_rotate_server_certificates: true
kubelet_secure_addresses: "192.168.10.110 192.168.10.111 192.168.10.112"

证书轮换避免了长期使用同一证书带来的风险，而安全地址限制则防止来自未授权IP的请求。

系统级安全强化

启用Seccomp默认配置和Systemd硬化，保护内核默认参数：

kubelet_seccomp_default: true
kubelet_systemd_hardening: true
kubelet_protect_kernel_defaults: true

这些配置从系统层面限制容器的权限，防止内核参数被篡改。Kubelet的Systemd硬化和安全地址配置共同构成了节点的基础防火墙，示意图如下：

Pod安全标准实施

通过Kubespray可以轻松配置Pod安全标准，限制Pod的权限。

# 创建默认Pod安全配置，拒绝运行不安全的Pod
kube_pod_security_use_default: true
kube_pod_security_default_enforce: restricted

上述配置将默认的Pod安全级别设置为"restricted"，严格限制Pod的特权访问。Kube-system命名空间默认被豁免，以确保系统组件正常运行。

集群可靠性与安全的平衡

在追求安全的同时，也需要考虑集群的可靠性。例如，Kubelet的节点状态更新频率和控制器管理器的节点监控周期需要根据集群规模进行调整。对于大型集群，适当降低更新频率可以减少etcd的负载。

可靠性配置参考：Kubernetes Reliability

推荐配置方案

对于中等规模集群，推荐以下配置：

• --node-status-update-frequency: 20s
• --node-monitor-grace-period: 2m
• --default-not-ready-toleration-seconds: 60
• --default-unreachable-toleration-seconds: 60

这种配置在节点故障检测速度和etcd负载之间取得了平衡。

安全配置部署

完成hardening.yaml文件后，通过以下Ansible命令部署安全配置：

ansible-playbook -v cluster.yml \
        -i inventory.ini \
        -b --become-user=root \
        --private-key ~/.ssh/id_ecdsa \
        -e "@vars.yaml" \
        -e "@hardening.yaml"

其中，vars.yaml包含集群的基本信息，如SANs、负载均衡器、DNS等，hardening.yaml则是我们创建的安全加固配置。

总结与后续步骤

本文介绍的安全加固方案涵盖了Kubernetes集群的主要组件，通过API服务器防护、节点安全配置、数据加密、Pod安全策略等多个层面提升集群安全性。部署后，建议定期审查安全配置，关注Kubernetes和Kubespray的安全更新，确保集群持续处于安全状态。

后续还可以考虑实施网络策略、镜像安全扫描、审计日志分析等高级安全措施，构建全方位的集群安全防护体系。

【免费下载链接】kubespray 项目地址: https://gitcode.com/gh_mirrors/kub/kubespray