JupyterHub on Kubernetes 安全部署指南

JupyterHub on Kubernetes 安全部署指南

【免费下载链接】zero-to-jupyterhub-k8s Helm Chart & Documentation for deploying JupyterHub on Kubernetes 项目地址: https://gitcode.com/gh_mirrors/ze/zero-to-jupyterhub-k8s

前言

在 Kubernetes 上部署 JupyterHub 时，安全性是需要重点考虑的因素。本文将全面介绍 JupyterHub 在 Kubernetes 环境中的安全最佳实践，帮助管理员构建安全的 JupyterHub 环境。

HTTPS 配置

为什么需要 HTTPS

HTTPS 通过 TLS/SSL 加密技术保护数据传输安全，防止中间人攻击和数据窃听。对于 JupyterHub 这类包含用户认证和数据传输的服务，启用 HTTPS 是基本安全要求。

自动 HTTPS 配置（推荐）

使用 Let's Encrypt 自动获取和更新证书是最简便的方案：

1. 域名准备

   • 购买域名并配置 A 记录指向 JupyterHub 服务的外部 IP
   • 等待 DNS 完全生效（可能需要数小时）

2. 配置修改

   proxy:
     https:
       enabled: true
       hosts:
         - your-domain.com
       letsencrypt:
         contactEmail: admin@example.com
   

3. 应用配置

   • 执行 helm upgrade 命令更新部署
   • 约1分钟后 HTTPS 将自动启用

手动 HTTPS 配置（高级）

如需使用自有证书，可通过两种方式配置：

1. 直接配置证书

   proxy:
     https:
       enabled: true
       type: manual
       manual:
         key: |
           -----BEGIN RSA PRIVATE KEY-----
           ...
         cert: | 
           -----BEGIN CERTIFICATE-----
           ...
   

2. 通过 Kubernetes Secret

   • 先创建 TLS 类型的 Secret
   • 然后在配置中引用该 Secret

HTTPS 验证

使用 SSL Labs 的测试工具验证配置：

https://ssllabs.com/ssltest/analyze.html?d=your-domain.com

安全镜像选择

精简版 Hub 镜像

默认镜像包含调试工具，建议生产环境使用精简版：

hub:
  image:
    name: quay.io/jupyterhub/k8s-hub-slim

Kubernetes 安全配置

RBAC（基于角色的访问控制）

RBAC 是 Kubernetes 的核心安全机制，必须启用：

rbac:
  create: true  # 默认已启用

禁用 RBAC 将导致严重安全风险，所有 Pod 将获得集群 root 权限。

Kubernetes Dashboard 风险

默认安装的 Kubernetes Dashboard 存在安全风险，建议删除：

kubectl -n kube-system delete deployment kubernetes-dashboard

用户权限控制

限制 Kubernetes API 访问

默认禁止用户访问 Kubernetes API，如需开放需谨慎配置：

singleuser:
  serviceAccountName: restricted-account  # 自定义受限账户

必须配合 RBAC 规则限制该服务账户权限。

云元数据保护

云平台的元数据服务（169.254.169.254）包含敏感信息，必须加以保护。

保护方案选择

1. 网络策略方案（推荐）

   • 需要集群安装 NetworkPolicy 控制器（如 Calico/Cilium）
   • 默认已配置阻止访问元数据 IP

2. iptables 方案

   singleuser:
     cloudMetadata:
       blockWithIptables: true
       ip: 169.254.169.254
   

网络策略详解

JupyterHub 部署涉及四种网络策略：

策略名称	管控对象	关键管控点
hub	Hub Pod	控制与代理和用户 Pod 的通信
proxy	代理 Pod	管理进出流量路由
autohttps	HTTPS 自动管理 Pod	证书申请和管理
singleuser	用户 Pod	限制用户容器网络访问

默认放行规则

• Hub Pod 可连接代理 API 和用户 Notebook
• 代理 Pod 可连接 Hub 和用户 Notebook
• 用户 Pod 可连接必要的服务端口

安全审计建议

1. 定期检查网络策略是否按预期工作
2. 监控异常访问行为
3. 保持组件版本更新
4. 限制管理员权限范围

总结

通过 HTTPS 加密、RBAC 权限控制、网络策略和元数据保护等多层防护，可以构建安全的 JupyterHub Kubernetes 部署环境。建议管理员根据实际需求调整安全配置，并保持持续的安全监控和更新。

【免费下载链接】zero-to-jupyterhub-k8s Helm Chart & Documentation for deploying JupyterHub on Kubernetes 项目地址: https://gitcode.com/gh_mirrors/ze/zero-to-jupyterhub-k8s