CentOS上Kubernetes安装的安全注意事项

CentOS 上 Kubernetes 安装的安全注意事项

一 系统加固与基础配置

• 保持 SELinux 为 enforcing，仅对必须的系统调用做例外（如使用容器运行时或 CNI 提供的策略模块），避免直接 SELINUX=disabled；如必须临时放宽，应在变更窗口内恢复并复核策略。
• 不建议直接关闭 firewalld；在生产环境应仅开放必要端口（如 6443、10250、10251、2379/2380、53/UDP+TCP 等），并按最小暴露面收敛来源网段。
• 必须 禁用 Swap（kubelet 要求），并在重启后验证；同时开启 内核桥接与转发：加载 br_netfilter，设置 net.bridge.bridge-nf-call-iptables=1、net.bridge.bridge-nf-call-ip6tables=1、net.ipv4.ip_forward=1。
• 全节点启用 NTP/chrony 时间同步，避免因时间漂移导致证书校验、审计与调度异常。
• 容器运行时建议使用 Containerd（Kubernetes v1.24+ 起内置不再直接兼容 Docker，若需 Docker 请使用 cri-dockerd 适配）；安装后确保 cgroup driver 一致（常见为 systemd），并启用 SystemdCgroup=true。

二 组件与网络的安全配置

• 证书与凭据：使用 kubeadm 默认 PKI 体系，妥善保管 admin.conf/kubeconfig，避免分发到非受控主机；为外部访问设置 API Server 负载均衡/认证网关，并限制来源网段。
• 端口最小化：仅开放 API Server(6443)、kubelet(10250)、Scheduler(10251)、Controller Manager(10252)、etcd(2379/2380)、以及 CoreDNS(53) 等必要端口；为 kubelet 只读端口 10255 设置访问控制或禁用，避免信息泄露。
• 网络策略：部署 CNI 插件（如 Calico）后，立即创建 NetworkPolicy 实现默认拒绝（Default Deny），仅对白名单流量放通，减少横向移动风险。
• 服务暴露：优先使用 ClusterIP/内部 Service；对外暴露尽量通过 Ingress Controller（配合 WAF/认证）或 LoadBalancer 的安全组 策略，避免将 NodePort 直接暴露公网。

三 身份与访问控制 RBAC

• 坚持 最小权限原则：避免使用 cluster-admin；按命名空间创建 Role/RoleBinding，跨命名空间权限使用 ClusterRole/ClusterRoleBinding 并细化到具体资源与动词。
• 管理 default ServiceAccount：不要为 default 绑定高权限；为工作负载创建 专用 ServiceAccount 并只授予所需权限。
• 审慎挂载 Token：对不需要访问 API 的 Pod，设置 automountServiceAccountToken: false（可在 Pod 或 ServiceAccount 级配置）。
• 权限验证与审计：使用 kubectl auth can-i --list --as=system:serviceaccount:: 定期自检；启用 审计日志 记录敏感操作（如 Secret、RBAC 变更），并定期清理无效/过度绑定的 RoleBinding/ClusterRoleBinding。

四 镜像与供应链安全

• 使用 私有镜像仓库 并配置 镜像拉取密钥（imagePullSecrets）；为生产镜像设置 可信源签名与镜像扫描，防止恶意镜像进入集群。
• 若使用 Helm，为 Tiller（如仍在使用）或 Helm 客户端/CI 配置最小权限 RBAC，仅授予目标命名空间的必要资源操作权限，避免以高权限账户执行部署。

五 数据安全与高可用

• etcd 安全：启用 TLS 认证与传输加密；将 etcd 数据目录 挂载在独立、加密的磁盘/分区；制定并演练 定期备份/恢复 流程（含离线快照与恢复验证）。
• 高可用：多 Master 场景部署 etcd 集群 与 API Server 负载均衡，对外暴露使用 VIP/HAProxy/Keepalived 等方案，避免单点故障与证书/配置漂移。
• 变更与升级：采用 滚动升级 策略，先在测试环境验证 Kubernetes 版本 与组件兼容性；保留回滚方案与变更记录。