Acara
17 Mar, 21 - 21 Mar, 10
Bergabunglah dengan seri meetup untuk membangun solusi AI yang dapat diskalakan berdasarkan kasus penggunaan dunia nyata dengan sesama pengembang dan pakar.
Daftar sekarangMenggunakan Admisi Keamanan Pod di Azure Kubernetes Service (AKS)
Pod Security Admission (PSA) menggunakan label untuk memberlakukan kebijakan Standar Keamanan Pod pada pod yang berjalan di namespace layanan. Di AKS, Penerimaan Keamanan Pod diaktifkan secara default. Untuk informasi selengkapnya tentang Penerimaan Keamanan Pod dan Standar Keamanan Pod, lihat Menerapkan Standar Keamanan Pod dengan label namespace layanan dan Standar Keamanan Pod.
Penerimaan Keamanan Pod adalah solusi kebijakan bawaan untuk implementasi kluster tunggal. Jika Anda ingin menggunakan kebijakan tingkat perusahaan, kami sarankan Anda menggunakan kebijakan Azure.
- Langganan Azure. Jika Anda tidak memiliki langganan Azure, Anda dapat membuat akun gratis.
- Azure CLI terpasang.
- Kluster AKS yang ada yang menjalankan Kubernetes versi 1.23 atau yang lebih tinggi.
Aktifkan PSA untuk namespace layanan tunggal di kluster Anda menggunakan
kubectl labelperintah dan aturpod-security.kubernetes.io/enforcelabel dengan nilai kebijakan yang ingin Anda terapkan. Contoh berikut mengaktifkanrestrictedkebijakan untuk namespace NAMESPACE .Azure CLIkubectl label --overwrite ns NAMESPACE pod-security.kubernetes.io/enforce=restricted
Aktifkan PSA untuk semua namespace di kluster Anda menggunakan
kubectl labelperintah dan aturpod-security.kubernetes.io/warnlabel dengan nilai kebijakan yang ingin Anda terapkan. Contoh berikut memungkinkanbaselinekebijakan untuk semua namespace di kluster Anda. Kebijakan ini menghasilkan peringatan yang menghadap pengguna jika ada pod yang disebarkan ke namespace yang tidak memenuhi kebijakan dasar .Azure CLIkubectl label --overwrite ns --all pod-security.kubernetes.io/warn=baseline
Buat dua namespace menggunakan
kubectl create namespaceperintah .Azure CLIkubectl create namespace test-restricted kubectl create namespace test-privilegedAktifkan kebijakan PSA untuk setiap namespace layanan, satu dengan
restrictedkebijakan dan satu denganbaselinekebijakan, menggunakankubectl labelperintah .Azure CLIkubectl label --overwrite ns test-restricted pod-security.kubernetes.io/enforce=restricted pod-security.kubernetes.io/warn=restricted kubectl label --overwrite ns test-privileged pod-security.kubernetes.io/enforce=privileged pod-security.kubernetes.io/warn=privilegedIni mengonfigurasi
test-restrictednamespace layanan dantest-privilegeduntuk memblokir pod yang sedang berjalan dan menghasilkan peringatan yang menghadap pengguna jika ada pod yang tidak memenuhi upaya kebijakan yang dikonfigurasi untuk dijalankan.Coba sebarkan pod ke
test-restrictednamespace layanan menggunakankubectl applyperintah . Perintah ini menghasilkan kesalahan karenatest-restrictednamespace dikonfigurasi untuk memblokir pod yang tidak memenuhirestrictedkebijakan.Azure CLIkubectl apply --namespace test-restricted -f https://raw.githubusercontent.com/Azure-Samples/azure-voting-app-redis/master/azure-vote-all-in-one-redis.yamlContoh output berikut menunjukkan peringatan yang menyatakan pod melanggar kebijakan yang dikonfigurasi:
Output... Warning: would violate PodSecurity "restricted:latest": allowPrivilegeEscalation != false (container "azure-vote-back" must set securityContext.allowPrivilegeEscalation=false), unrestricted capabilities (container "azure-vote-back" must set securityContext.capabilities.drop=["ALL"]), runAsNonRoot != true (pod or container "azure-vote-back" must set securityContext.runAsNonRoot=true), seccompProfile (pod or container "azure-vote-back" must set securityContext.seccompProfile.type to "RuntimeDefault" or "Localhost") deployment.apps/azure-vote-back created service/azure-vote-back created Warning: would violate PodSecurity "restricted:latest": allowPrivilegeEscalation != false (container "azure-vote-front" must set securityContext.allowPrivilegeEscalation=false), unrestricted capabilities (container "azure-vote-front" must set securityContext.capabilities.drop=["ALL"]), runAsNonRoot != true (pod or container "azure-vote-front" must set securityContext.runAsNonRoot=true), seccompProfile (pod or container "azure-vote-front" must set securityContext.seccompProfile.type to "RuntimeDefault" or "Localhost") deployment.apps/azure-vote-front created service/azure-vote-front createdKonfirmasikan tidak ada pod yang berjalan di
test-restrictednamespace menggunakankubectl get podsperintah .Azure CLIkubectl get pods --namespace test-restrictedContoh output berikut menunjukkan tidak ada pod yang berjalan di
test-restrictednamespace:OutputNo resources found in test-restricted namespace.Coba sebarkan pod ke
test-privilegednamespace layanan menggunakankubectl applyperintah . Kali ini, pod harus berhasil disebarkan karenatest-privilegednamespace dikonfigurasi untuk memungkinkan pod yang melanggarprivilegedkebijakan.Azure CLIkubectl apply --namespace test-privileged -f https://raw.githubusercontent.com/Azure-Samples/azure-voting-app-redis/master/azure-vote-all-in-one-redis.yamlContoh output berikut menunjukkan pod yang berhasil disebarkan:
Outputdeployment.apps/azure-vote-back created service/azure-vote-back created deployment.apps/azure-vote-front created service/azure-vote-front createdKonfirmasikan bahwa Anda memiliki pod yang berjalan di
test-privilegednamespace menggunakankubectl get podsperintah .Azure CLIkubectl get pods --namespace test-privilegedContoh output berikut menunjukkan dua pod yang berjalan di
test-privilegednamespace:OutputNAME READY STATUS RESTARTS AGE azure-vote-back-6fcdc5cbd5-svbdf 1/1 Running 0 2m29s azure-vote-front-5f4b8d498-tqzwv 1/1 Running 0 2m28stest-restrictedHapus namespace layanan dantest-privilegedmenggunakankubectl deleteperintah .Azure CLIkubectl delete namespace test-restricted test-privileged
Dalam artikel ini, Anda mempelajari cara mengaktifkan Admisi Keamanan Pod di sebuah kluster AKS. Untuk informasi selengkapnya tentang Admisi Keamanan Pod, lihat Menerapkan Standar Keamanan Pod dengan Label Namespace Layanan. Untuk informasi selengkapnya tentang Standar Keamanan Pod yang digunakan oleh Admisi Keamanan Pod, lihat Standar Keamanan Pod.
Berkolaborasi dengan kami di GitHub
Sumber untuk konten ini dapat ditemukan di GitHub, yang juga dapat Anda gunakan untuk membuat dan meninjau masalah dan menarik permintaan. Untuk informasi selengkapnya, lihat panduan kontributor kami.
Umpan balik Azure Kubernetes Service
Azure Kubernetes Service adalah proyek sumber terbuka. Pilih tautan untuk memberikan umpan balik:
Sumber Daya Tambahan:
Pelatihan
Modul
Mengonfigurasi kluster Azure Kubernetes Service - Training
Gunakan Azure Policy untuk memberlakukan kebijakan dan perlindungan pada kluster Kubernetes Anda dalam skala besar. Azure Policy Memastikan bahwa kluster Anda aman, sesuai, dan konsisten di seluruh organisasi Anda.
Sertifikasi
Bersertifikat Microsoft: Rekanan Insinyur Keamanan Azure - Certifications
Menunjukkan keterampilan yang diperlukan untuk menerapkan kontrol keamanan, mempertahankan postur keamanan organisasi, dan mengidentifikasi dan memulihkan kerentanan keamanan.