Kubernetes を介して本番環境にデプロイされるクラウドネイティブ アプリケーションがますます増えるにつれて、セキュリティは早い段階で考慮する必要がある重要なチェックリストになります。クラウドネイティブ アプリケーションを設計するときは、事前にセキュリティ ポリシーを埋め込むことが重要です。これを怠ると、後で安全上の問題が発生し、プロジェクトの遅延を引き起こし、最終的には不必要なストレスと費用が発生する可能性があります。 長年にわたり、セキュリティはデプロイメントが本番環境にリリースされる直前まで先延ばしにされてきました。この慣行は、すべての組織が遵守すべきセキュリティ標準があり、それが無視されたり遵守されなかったりして、成果物を達成するために多くのリスクを負うことになるため、プロジェクトの納品の遅延につながります。 Kubernetesの実装を学び始めたばかりの方、Kubernetesの理解ネットワークポリシーそれは気が遠くなるかもしれません。ただし、これは、アプリケーションを Kubernetes クラスターにデプロイする前に理解しておく必要がある基本的な要件の 1 つです。 Kubernetes とクラウドネイティブ アプリケーションについて学習する際には、「セキュリティを置き去りにしないでください」ということを忘れないでください。あなたのマントラ。 ネットワークポリシーの概念ネットワークポリシーデータセンター環境でよく使用されるファイアウォールデバイスを置き換えます。ポッドコンピューティングインスタンス、ルーターとスイッチへのネットワークプラグイン、およびストレージエリアネットワーク (SAN) へのボリューム。 デフォルトでは、Kubernetesネットワークポリシーはポッドどこからでもトラフィックを受信します。ポッドのセキュリティを気にしないのであれば、これで問題ないかもしれません。ただし、重要なワークロードを実行している場合は、ポッドを保護する必要があります。クラスター内のトラフィック (入力トラフィックと出力トラフィックを含む) の制御は、ネットワーク ポリシーを通じて実現できます。 ネットワーク ポリシーを有効にするには、ネットワーク ポリシーをサポートするネットワーク プラグインが必要です。そうしないと、適用したルールが役に立たなくなります。 Kubernetes.io にはさまざまなネットワーク プラグインがリストされています。
ネットワークポリシーの適用ネットワーク ポリシーを適用するには、ネットワーク ポリシーをサポートするネットワーク プラグインを備えた稼働中の Kubernetes クラスターが必要です。 ただし、まず、Kubernetes 環境でネットワーク ポリシーを使用する方法を理解する必要があります。 Kubernetes ネットワーク ポリシーにより、ポッドはどこからでもトラフィックを受信できるようになります。これは理想的な状況ではありません。ポッドのセキュリティを確保するには、ポッドが Kubernetes アーキテクチャ内で通信できるエンドポイントであることを理解する必要があります。 1. ポッド間の通信には
2. 名前空間間の通信および名前空間とポッド間の通信には、
3. ポッドの IP ブロック通信の場合、
ポッド、名前空間、IP ベースのポリシーの違いに注意してください。ポッドベースおよび名前空間ベースのネットワーク ポリシーでは、セレクターを使用してトラフィックを制御しますが、IP ベースのネットワーク ポリシーでは、IP ブロック (CIDR 範囲) を使用して制御を定義します。 すべてをまとめると、ネットワーク ポリシーは次のようになります。
上記のネットワークポリシーを参照し、 このセクションでは、
次に、 まず、 この例では、ネットワーク ポリシーにより、次の場所からのポッド接続が許可されます。
次に、
ネットワークポリシーの制限ネットワーク ポリシーだけでは Kubernetes クラスターを完全に保護することはできません。既知の制限を克服するには、オペレーティング システム コンポーネントまたはレイヤー 7 ネットワーク テクノロジを使用できます。ネットワーク ポリシーは、IP アドレスとポート レベル、つまり、オープン システム相互接続 (OSI) アーキテクチャのレイヤー 3 または 4 のセキュリティのみに対応することを覚えておく必要があります。 ネットワーク ポリシーで処理できないセキュリティ要件に対処するには、他のセキュリティ ソリューションを使用する必要があります。ここでは、ネットワーク ポリシーを他のテクノロジーで拡張する必要がある、知っておく必要のあるユース ケースをいくつか示します。 要約するKubernetes ネットワーク ポリシーを理解することは重要です。これは、データ センター環境で通常使用するファイアウォール ロールを Kubernetes 用に適応させて実装する方法 (置き換えるのではなく) であるためです。これをコンテナ セキュリティの最初のレイヤーと考えてください。ネットワーク ポリシーだけに頼るのは完全なセキュリティ ソリューションにはなりません。 ネットワーク ポリシーは、セレクターとラベルを使用して、ポッドと名前空間にセキュリティを実装します。さらに、ネットワーク ポリシーでは IP 範囲ごとにセキュリティを強制できます。 ネットワーク ポリシーを適切に理解することは、Kubernetes 環境でコンテナ化を安全に導入するための重要なスキルです。 |
<<: Kubernetes のマルチコンテナ Pod 設計パターン
>>: AWS、GCP、Azure との交渉時に避けるべき 6 つのリスク
重要なポイント端末デバイスからのデータがクラウドで処理されることが増えていますが、これはリソースを大...
最近、市場調査会社Synergy Research Groupの最新データによると、世界中の企業は2...
地域社会を育むには、「環境」「理性」「交流」「口コミ」「蓄積」という5つの言葉を常に覚えておく必要が...
百度は2009年4月に鳳凰巣システムを立ち上げて以来、このシステムは継続的に更新されており、ウェブマ...
現在、どの都市にもさまざまな規模の病院があり、ユーザーには多くの選択肢があります。この点だけから見て...
数日前、外で誰かを待っていて退屈していたとき、KFCのレストランに入り、誰かを待っている間にインター...
海外メディアの報道によると、アマゾン、グーグル、マイクロソフトは、競争で有利な立場を獲得するため、今...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています最近、Xi...
最近、Toutiao 検索がひっそりと開始されたことを発見した人もいます。かつて情報流通と短編動画の...
過去 1 か月ほど、Baidu は新しいサイトの登録を減速させています。監査パラメータはより厳しくな...
batucloudは2009年に設立された当初は、主にゲームサーバー事業に従事していました。その後、...
3 大クラウドは、場所、ネットワーク、インフラストラクチャなどの主要なエッジ属性を部分的にしか制御で...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています携帯電話の...
Pinduoduoとテスラは対立している。ピンドゥオドゥオは8月16日午後、上海のピンドゥオドゥオ共...
ウェブサイト最適化の真の意味ウェブサイトの最適化とは、ウェブサイトの機能、ウェブサイトの構造、ウェブ...