Kubernetes 是一個開源容器編排系統，它用于自動化應用程序的部署、管理和擴展。Kubernetes 集群通常在云環境中運行，例如 Amazon EC2、Google Kubernetes Engine 和 Azure Kubernetes Service。這些環境為 Kubernetes 集群提供了高度可擴展的彈性基礎設施，但它們也帶來了額外的安全風險。

本文將探討 Kubernetes 集群面臨的常見網絡威脅、惡意軟件和漏洞，并提供最佳實踐來保護您的集群免受這些威脅。

網絡威脅

Kubernetes 集群可能面臨以下網絡威脅：

• 分布式拒絕服務 (DDoS) 攻擊： DDoS 攻擊會向目標服務器發送大量請求，目的是使其不堪重負并使其崩潰。Kubernetes 集群特別容易受到 DDoS 攻擊，因為它們可以水平擴展，產生大量的節點。
• 中間人 (MITM) 攻擊： MITM 攻擊者會在客戶端和服務器之間插入自己，竊取敏感數據或修改通信。

以下是保護 Kubernetes 集群免受網絡威脅、惡意軟件和漏洞的最佳實踐：

• 使用網絡安全組： 網絡安全組可以用來限制對 Kubernetes 集群的訪問，只允許從授權源進行訪問。有關網絡安全組的更多信息，請參閱Kubernetes 文檔。
• 使用 TLS 認證： TLS 認證可以用來加密 Kubernetes API 服務器和集群節點之間的通信。有關 TLS 認證的更多信息，請參閱Kubernetes 文檔。
• 使用 Kubernetes RBAC： Kubernetes RBAC 可以用來控制用戶和服務帳戶對 Kubernetes 集群的訪問權限。有關 Kubernetes RBAC 的更多信息，請參閱Kubernetes 文檔。

• 使用容器鏡像掃描程序： 容器鏡像掃描程序可以用來掃描容器鏡像中是否存在漏洞。有關容器鏡像掃描程序的更多信息，請參閱Kubernetes 博客文章。
• 定期更新 Kubernetes 集群： Kubernetes 團隊會定期發布安全更新，修復漏洞。請務必及時更新您的 Kubernetes 集群。
• 實施安全監控和應急響應計劃： 實施一個安全監控和應急響應計劃，以檢測和響應 Kubernetes 集群中的安全事件。有關 Kubernetes 安全事件響應的更多信息，請參閱Kubernetes 文檔。

結論

Kubernetes 集群面臨著各種網絡威脅、惡意軟件和漏洞。遵循本文中的最佳實踐，您可以幫助保護您的集群免受這些威脅。通過遵循這些最佳實踐，您可以降低安全風險并幫助確保 Kubernetes 集群的安全性和合規性。

---

Kubernetes(k8s)和Docker區別

Kubernetes（簡稱k8s）和Docker是容器化領域的核心組件，盡管都與容器技術相關，但它們在功能和用途上存在顯著差異。 以下是對這兩個技術區別的詳細闡述。 一、Kubernetes（K8）Kubernetes是由谷歌開發的容器編排系統，旨在自動化Docker容器的部署、擴展和管理。 它是一個全面的分布式系統支持平臺，提供集群管理、安全防護、服務發現、負載均衡、故障恢復、滾動升級、資源管理等功能。 核心組件包括kube-apiserver、kube-controller-manager和kubelet，以及etcd、kube-proxy等。 Kubernetes擁有龐大活躍的社區，支持豐富的教程和資源。 二、DockerDocker是一款開源容器化引擎，允許將應用程序及其依賴打包為可移植容器，在多種操作系統上部署。 它采用客戶端-服務器架構，提供便捷的容器運行、資源隔離、服務發現和動態擴展等功能。 核心組件包括Docker Engine、Docker Hub和Docker Compose。 Docker相對簡單，易于學習，但高級特性如網絡配置、存儲管理等需要進一步掌握。 三、K8和Docker應用1. 快速部署和升級應用程序：Kubernetes和Docker簡化了應用程序在不同環境下的部署和更新過程。 2. 提高可伸縮性：自動擴展功能根據應用程序負載調整容器實例數量，提升可伸縮性。 3. 增強可靠性：容器化技術隔離應用程序組件，降低故障風險。 4. 簡化開發流程：Docker簡化開發環境創建，Kubernetes支持多容器部署，提高團隊協作效率。 5. 簡化部署和管理：自動化應用程序部署和管理，降低手動管理風險。 結合Docker和Kubernetes，開發人員可輕松打包應用程序為Docker鏡像，利用Kubernetes進行容器調度和管理，實現高效、可靠的應用程序部署和運行。

使用Quttera檢測并保護網絡資產免受網絡威脅

Quttera提供基于SaaS的惡意軟件檢測解決方案，以識別未知和“零日”并提醒用戶?網站上的威脅。 他們的技術結合了人工智能、多層識別引擎、評分層和其他基于非簽名的方法，使網絡惡意軟件檢測更快、更容易。 在這次采訪中，Quttera聯合創始人兼首席技術官MichaelNovofastovsky探討了當前網絡安全面臨的威脅和挑戰，并為中小企業提供了一個優雅的解決方案。

請描述公司背后的故事：是什么激發了這個想法，以及到目前為止它是如何發展的？

Quttera是作為對抗網絡惡意軟件的創新解決方案的中心而創建的。 包括我在內的三位聯合創始人設定了一個目標，以改進現有的反惡意軟件工具，并克服行業中的局限性，例如僅基于簽名的解決方案、嚴重依賴手動研究的惡意軟件實驗室、零日攻擊等。

是我們在2009年注冊的第一項專利，旨在檢測給定代碼或信息中的漏洞攻擊。 專利方法中的算法和數學模型為基于啟發式和人工智能的技術奠定了基礎，稱為Quttera。

從那時起，我們一直在開發新的工具和服務，以檢測、刪除和保護網絡資產免受已知和未知的網絡威脅。 我們的技術已經發展成為一種多層、功能豐富的啟發式技術，可以在沒有簽名的情況下工作。 最重要的是，它的設計具有靈活性，可以根據任何應用程序的需求和具體情況進行調整。 任何客戶端系統都可以輕松地將其集成，并開始利用其能力發現隱藏的威脅，調整和保護數據，并連接到集中的威脅情報數據庫。

例如，中小型企業主通過SaaS網站保護平臺——ThreatSign使用我們的技術。 威脅實驗室、電子郵件客戶端、電信、主機、安全提供商、云存儲、廣告庫存、物聯網設備，以及幾乎所有網絡連接資產都可以通過RESTAPI使用我們的技術。

Quttera產品和服務包含web應用程序防火墻、外部惡意軟件掃描、服務器端惡意軟件掃描、SSL管理、自動惡意軟件清理框架、開放端口掃描、DNS攻擊監控、黑名單檢查、正常運行時間監控和其他安全功能。

以下是對Quttera的ThreatSign平臺的簡要介紹：

在線企業應該注意的當前威脅是什么？

惡意軟件、垃圾郵件、表單數據盜竊、拒絕服務、勒索軟件和交通盜竊只是一長串威脅中的幾項。 你可以在我們的博客上找到每種威脅的真實例子的詳細分類，但如果在這里列出所有威脅，那就太難了。

I會說，企業受到攻擊的最大威脅或主要原因是缺乏安全教育。 根據我們的民調，似乎許多中小企業所有者認為他們的小網站或登錄頁不是目標，因為他們沒有巨額收入或根本沒有收入。

這導致對網絡主機和網站平臺的選擇不當，完全忽視網絡安全，很快導致感染。 盡管ThreatSign的統計數據顯示，主動來我們這里建立保護的網站數量在增長，但絕大多數新客戶仍然受到嚴重感染，并被谷歌、諾頓和其他公司列入黑名單。 惡意軟件和黑客攻擊已經變得更加復雜和自動化。 另一個有趣的統計數據是，一個典型的商業網站每天被攻擊超過40次。

誰是威脅參與者，他們的動機是什么？

我們從受影響并簽署到我們的SaaS平臺ThreatSign進行補救的客戶中看到的大多數威脅參與者都是網絡罪犯、黑客行動主義者和尋求刺激者。 他們的動機是：盈利——是否分發SEO垃圾郵件、釣魚垃圾郵件、郵件、信用卡信息盜竊（略讀）、點擊劫持、流量盜竊、勒索軟件或DDoS。 這些罪犯經常在國際上活動，擁有大量資源。 1_網站污損和DDoS攻擊。 他們的目的是阻止網站所有者的信息被傳遞出去，或者用不同的信息替換它。 玩黑客游戲。 他們通常是最不老練的攻擊者，在家里使用設備。 然而，它們會對易受攻擊的站點造成嚴重危害。 當局正在采取什么措施阻止網絡犯罪？

世界各地的執法機構正在合作追蹤和關閉網絡罪犯。 這個過程很困難，因為專業的威脅參與者知道如何隱藏自己的行蹤。 其中許多在政府不太合作的國家開展業務。 盡管困難重重，執法部門還是采取了一些令人印象深刻的行動。 但調查可能需要數年時間，與此同時，世界各地的網站都成了受害者。 新幫派取代了被關閉的幫派。 執法并不能消除對強大網站網絡安全的需求。

您認為CCPA將如何影響電子商務行業？

CCPA要求在加州開展業務的公司使用合理的程序來保護其消費者數據。 這是對那些粗心大意的人的警鐘。 他們需要證明他們已經采取了網絡安全措施來保護客戶的數據不被破壞。 許多初創公司都在提供合規服務，但并非所有公司都做得很好。 那些提供廉價、低質量服務并認為自己受到保護的企業可能會遭受代價高昂的失望。

最小的企業是免稅的，它們通常是安全措施最差的企業。 他們不應該把缺乏法律義務作為忽視安全的借口。 CCPA只是他們一直應該做的事情的又一個原因：為他們的網站和敏感數據實施徹底、強大的安全保護。 此外，GDPR等其他法規也在推動在線業務朝著同樣的方向發展。 安全一直至關重要，但這些法律提醒人們需要防止數據盜竊。 企業需要具備成熟專業知識的公司的幫助，以達到法律要求的網絡安全水平。

鑒于家庭辦公的巨大轉變，企業應該做些什么來確保其運營？

企業在遠程操作時，在確保運營安全方面面臨許多挑戰。無論是讓每個人都能在家工作，還是將所有業務轉移到網絡上，這五個關鍵功能都是：

Availability：解決方案應該具有高度的彈性和高可用性，因為任何停機都會影響員工和客戶，并給企業帶來沉重的成本?？蓴U展性：解決方案應能處理成千上萬的連接。靈活性：解決方案應支持在幾分鐘或幾小時內進行擴展，同時最大限度地減少持續維護和成本要求。簡單性：解決方案應該提供基于代理或無代理服務的選擇。安全性：解決方案必須具有內在的安全性，并提供一種在全球或地方級別設置更嚴格控制的方法。你覺得現在哪些趨勢和技術特別有趣？

云和物聯網很簡單。 物理世界和數字世界將不可避免地變得越來越近，并改變我們的生活、工作、學習和日?；顒臃绞健? 智能連接設備及其數字孿生兄弟將持續實時通信。 物聯網最終將進入每個行業，將我們生活的更多方面帶入“虛擬現實”我喜歡觀看新的AR/VR體驗、工業4.0、智能家居、智能醫療設備的演示，以及其他即將普及的精彩體驗。

你如何展望你所在行業的未來？

壞行為人以任何可能的方式干擾并控制物聯網鏈中的任何點都會造成物理傷害。 因此，我可以預見越來越多的供應商瞄準物聯網資產的掃描、管理和保護。 當SMB/SME采用物聯網時，市場將變得巨大，無論是接收流量的服務器、控制器設備，還是存在于任何數字模型中的數字孿生兄弟。 所有這些載體都將成為黑客的目標，必須受到網絡安全解決方案的保護。

今天，我們的ThreatSign網站安全網絡每季度處理約5200萬個請求，平均阻止120萬個惡意軟件攻擊。 當物聯網進入時，你可以想象掃描和保護的物聯網資產和其他有用的統計數據組成的網絡，以管理和評估公司物聯網業務的安全性。 我們仍然不知道這到底會是什么樣子，但這是肯定的。 我相信，每個網絡安全供應商都在努力準備他們的技術和基礎設施，發現障礙和挑戰，確保他們為物聯網帶來的一切做好準備。

有了新技術，新網站的創建和上線將變得更快、更容易。 因此，它也推動了快速部署網絡安全防御的需求。 我們的方向之一是創建一個云本地、無服務器保護、修復和監控360度安全解決方案，讓我們能夠擴展并提供靈活性、簡單性，當然還有安全性。 我們所有的保護模塊，比如WAF，都已經是云本地的，我們正在使用Kubernetes來支持客戶并緩解DDoS攻擊。

Kubernetes 集群的關閉與重啟

在 Kubernetes 集群的運維過程中，適時的關閉和重啟是必要的，但需謹慎操作。 本文將指導您如何安全地執行這些任務。

首先，確保在進行任何操作前備份所有重要數據，包括應用、CRD和Etcd，避免在重啟或關閉過程中導致數據丟失。推薦的方法是逐個驅逐維護節點而非整個集群，使用以下命令列出和驅逐節點：

關閉集群前，再次強調備份的重要性。以下是關閉集群的步驟：

重啟集群后，務必檢查所有節點和核心組件的狀態。 盡管重啟后通?？梢曰謴?，但意外情況仍可能導致集群不可用，因此備份是關鍵，尤其是多次備份。

盡管現代技術帶來了便利，但運維仍需謹慎對待，備份是預防不可預知問題的重要手段。 避免因無知導致的割接問題，保護您的集群免受不必要的風險。

kubectl怎么讀？

kubectl是一種命令行工具，用于管理Kubernetes集群。 它是Kubernetes自帶的工具之一，可以通過命令行訪問和控制集群、部署應用程序和服務等。 kubectl是Kubernetes工具箱中最常用的工具之一，通常是從終端或控制臺中運行。

kubectl的讀音可以分為兩部分。 第一部分“kube”是“Kubernetes”的簡稱，讀作“koo-burr”。 第二部分“ctl”讀作“control”，表示控制工具。 因此，kubectl的正確發音為“koo-burr-control”。

如果您是Kubernetes集群的管理員或開發人員，kubectl是一種非常重要的工具。 通過學習和熟練掌握kubectl，您可以管理和控制集群中的各種容器和應用程序，確保它們正常運行，并具有高可用性和伸縮性。 同時，通過kubectl，您還可以創建、部署和升級Kubernetes中的應用程序和服務，提高生產力和效率。

[譯]使用PDB避免Kubernetes集群中斷

這是我們實現Kubernetes集群零停機時間更新的系列文章的第四部分也是最后一部分。 在前兩篇文章「如何優雅地關閉Kubernetes集群中的Pod」和「借助Pod刪除事件的傳播實現Pod摘流」中，我們重點介紹了如何正常關閉集群中現有的Pod。 我們介紹了如何使用preStop鉤子正確關閉Pod，以及為什么在Pod關閉序列中增加延遲以等待刪除事件在群集中傳播很重要。 這些可以處理一個Pod的終止，但不能保證我們在需要關閉多個Pod時還能讓服務正常運行。 在本文中，我們將使用Kubernetes提供PodDisruptionBudgets或者簡稱PDB來減輕這種風險。

譯注：PDB是Kubernetes中用來保證集群中始終有指定的Pod副本數處于可用狀態，它與Deployment中指定的maxUnavailable的區別是，后者是用來使用Deployment對應用進行滾動更新時保障最少可服務副本數的！而ReplicaSetController，也并不能給保證集群中始終有幾個可服務副本，它是負責盡快的讓實際副本數跟期望副本數相同的，不會保證中間某些時刻的實際副本數。 Kubernetes的PDB是用來保證應用在每個時刻最少可用Pod副本數的，對那些Voluntary（自愿的）Disruption做好Budgets(預算方案)。

PDB是針對VoluntaryDisruption場景設計的，屬于Kubernetes可控的范疇之一，而不是為InvoluntaryDisruption（非自愿中斷設計）設計的，自愿中斷主要是一些系統維護和升級更新的操作，而非自愿中斷一般都是些硬件和網絡故障導致的中斷。 一些集群會對Node進行自動管理，因此需要使用PDB來保障應用的HA。

PDB：預算可容忍的故障數

Pod中斷預算（PDB）是一種在給定時間可容忍的中斷數量（故障預算）的指標。 每當計算出服務中的Pod中斷會導致服務降至PDB以下時，操作就會暫停，直到可以維持PDB為止。 這意味著在等待更多Pod可用之前，可以暫時停止逐出Pod，以免驅逐Pod而超出預算。

要配置一個PDB，我們需要在Kubernetes里創建一個PodDisruptionBudgets資源對象（后面簡稱PDB對象）用來匹配服務中的Pod。舉個例子來說，我們想要創建一個PDB對象讓我們之前使用Deployment創建的Nginx應用始終保持至少一個Pod可用，那么我們可以應用下面的配置：

apiVersion:policy/v1beta1kind:PodDisruptionBudgetmetaData:name:nginx-pdbspec:minAvailable:1selector:matchLabels:app:nginx

這會告訴Kubernetes我們想要在任意時間點都有至少一個匹配標簽app:niginx的Pod在集群中可用。 使用此方法，我們可以促使Kubernetes保證在自愿中斷（更新/維護）進行時服務至少有一個Pod是可用的，避免服務停機。

PDB的工作原理

為了說明PDB是如何工作的，讓我們回到我們的一直以來使用的示例。 為了簡單起見，在示例中，我們將忽略任何preStop鉤子，就緒性探針和服務請求。 我們還將假設我們要對集群節點進行一對一替換。 這意味著我們將通過使節點數量加倍，在新節點上運行重建的Pod。

在圖示中我們從兩個節點的原始群集開始：

我們提供了兩個額外的節點來運行新的虛擬機鏡像。 最終將會在新節點上創建Pod替換運行在舊節點上的Pod。

要替換服務Pod所在的節點，我們首先需要清空舊節點。 在此示例中，讓我們看看如果同時向運行NginxPod的兩個節點發出kubectldrain命令時會發生什么。 排空Node上Pod的請求將在兩個線程中發出（實踐時，可以使用兩個終端分別運行kubectldrain命令），每個線程管理一個節點的排空執行序列。

注意，在這里我們，假設kubectldrain命令會立即發出驅逐請求。 實際上，drain操作首先會涉及對節點進行標記（給節點打上NoSchedule的標記），以便不會把Pod重新調度到舊節點上去。

節點標記完成后，負責排空節點的線程開始逐出節點上的Pod。 這個過程中線程首先會去控制中心查詢，看驅逐Pod是否會導致服務可用Pod數下降到配置的PDB以下。

這里需要注意的是，控制臺會將并發請求串行化，一次處理一個PDB查詢。 這樣，在這種情況下，控制平面將成功響應其中一個請求，而使另一個請求失敗。 這是因為第一個請求基于兩個可用Pod的。 允許此請求會將可用的Pod數量減少到1，PDB得以維持。 當控制中心允許請求繼續進行時，便會將其中一個容器逐出，從而變得不可用。 之后，當處理第二個請求時，控制平面將拒絕它，因為允許該請求會將可用Pod的數量降至0，低于我們配置的PDB。

鑒于此，在示例中，我們假定節點1是獲得成功響應的節點。在這種情況下，節點1負責排空操作的線程將繼續逐出Pod，而節點2的排空線程將會等待并在稍后重試：

當節點1上的NginxPod被驅逐后，Pod會立即被Deployment重建出來并調度到集群的節點上。 因為我們集群的舊節點都已經被打上了NoSchedule的標記，所以調度器會選擇一個新節點進行調度。

至此，成功在新節點上完成了Pod更換，并且排空了原始節點Node1，用于排空Node1的線程就完成任務了。

從現在開始，當Node2的排空線程再次去控制中心查詢PDB時，將會得到成功響應。 這是因為有一個正在運行的Pod（剛才在Node3上新建的Pod）不在考慮驅逐的序列中，因此，讓Node2的排空線程繼續前進不會將可用Pod的數量降到PDB以下。 所以線程2會繼續前進逐出Node2上的Pod，完成驅逐過程：

至此，我們就成功地將兩個Pod都遷移到了新節點上，而沒有遇到無可用Pod可以為應用程序提供服務的情況。 而且，我們不需要在兩個負責排空節點的線程之間有任何協調邏輯，Kubernetes會根據我們提供的配置為我們處理所有工作！

總結

將我們在本博客系列中的內容都聯系起來，我們介紹了：

如何使用生命周期鉤子來實現平滑關閉我們的應用程序的能力，從而不會導致服務硬重啟。 PartII：如何優雅地關閉Kubernetes集群中的Pod

Pod是怎么從Kubernetes系統中被移除的，以及為什么必須在Pod關閉序列中引入延遲。 PartIII:借助Pod刪除事件的傳播實現Pod摘流

如何指定Pod中斷預算（PDB），以確保我們始終有一定數量的Pod可用，以便在需要中斷的情況下為運行的應用程序提供連續不中斷的服務。

當所有這些功能一起使用時，我們可以實現集群維護時服務零停機時間的目標！不過不要只聽我在這里說，要繼續下去把這里介紹的功能應用在練習和實踐中。

關注公眾號「網管叨bi叨」獲取更多精選技術文章

作者：kevinyan著作權歸作者所有。

---

---

相關標簽： 集群的安全性、 kubernetes怎么讀、 惡意軟件和漏洞、 保護免受網絡威脅、 Kubernetes、

上一篇：Kubernetes集群的云原生最佳實踐在AWSAzure

下一篇：Kubernetes集群自動化部署流水線編排和持續