22、Kubernetes 安全、备份与集群健康管理

Kubernetes 安全、备份与集群健康管理

1. 容器安全扫描

1.1 基础镜像安全

不要自动信任基础镜像，如 alpine。Clair 预加载了许多流行基础镜像的安全检查，若使用的镜像存在已知漏洞，它会立即告知。

1.2 安全扫描工具

• Aqua
  • Aqua 的容器安全平台是一个全方位的商业容器安全解决方案，可扫描容器的漏洞、恶意软件和可疑活动，还能提供策略执行和法规合规性。该平台可与容器注册表、CI/CD 管道和多个编排系统（包括 Kubernetes）集成。
  • Trivy 是 Aqua 提供的免费工具，可添加到容器镜像中，从 Aqua 安全平台使用的同一数据库扫描已安装包的已知漏洞。
    • 扫描特定 Docker 镜像，安装 CLI 工具并运行：

trivy image [YOUR_CONTAINER_IMAGE_NAME]

    - 扫描 Docker 文件、Terraform 文件和 Kubernetes 清单中的安全问题和配置错误：

trivy config [YOUR_CODE_DIR]

- kube - hunter 是 Aqua 的另一个开源工具