Kubernetes を介して本番環境にデプロイされるクラウドネイティブ アプリケーションがますます増えるにつれて、セキュリティは早い段階で考慮する必要がある重要なチェックリストになります。クラウドネイティブ アプリケーションを設計するときは、事前にセキュリティ ポリシーを埋め込むことが重要です。これを怠ると、後で安全上の問題が発生し、プロジェクトの遅延を引き起こし、最終的には不必要なストレスと費用が発生する可能性があります。 長年にわたり、セキュリティはデプロイメントが本番環境にリリースされる直前まで先延ばしにされてきました。この慣行は、すべての組織が遵守すべきセキュリティ標準があり、それが無視されたり遵守されなかったりして、成果物を達成するために多くのリスクを負うことになるため、プロジェクトの納品の遅延につながります。 Kubernetesの実装を学び始めたばかりの方、Kubernetesの理解ネットワークポリシーそれは気が遠くなるかもしれません。ただし、これは、アプリケーションを Kubernetes クラスターにデプロイする前に理解しておく必要がある基本的な要件の 1 つです。 Kubernetes とクラウドネイティブ アプリケーションについて学習する際には、「セキュリティを置き去りにしないでください」ということを忘れないでください。あなたのマントラ。 ネットワークポリシーの概念ネットワークポリシーデータセンター環境でよく使用されるファイアウォールデバイスを置き換えます。ポッドコンピューティングインスタンス、ルーターとスイッチへのネットワークプラグイン、およびストレージエリアネットワーク (SAN) へのボリューム。 デフォルトでは、Kubernetesネットワークポリシーはポッドどこからでもトラフィックを受信します。ポッドのセキュリティを気にしないのであれば、これで問題ないかもしれません。ただし、重要なワークロードを実行している場合は、ポッドを保護する必要があります。クラスター内のトラフィック (入力トラフィックと出力トラフィックを含む) の制御は、ネットワーク ポリシーを通じて実現できます。 ネットワーク ポリシーを有効にするには、ネットワーク ポリシーをサポートするネットワーク プラグインが必要です。そうしないと、適用したルールが役に立たなくなります。 Kubernetes.io にはさまざまなネットワーク プラグインがリストされています。
ネットワークポリシーの適用ネットワーク ポリシーを適用するには、ネットワーク ポリシーをサポートするネットワーク プラグインを備えた稼働中の Kubernetes クラスターが必要です。 ただし、まず、Kubernetes 環境でネットワーク ポリシーを使用する方法を理解する必要があります。 Kubernetes ネットワーク ポリシーにより、ポッドはどこからでもトラフィックを受信できるようになります。これは理想的な状況ではありません。ポッドのセキュリティを確保するには、ポッドが Kubernetes アーキテクチャ内で通信できるエンドポイントであることを理解する必要があります。 1. ポッド間の通信には
2. 名前空間間の通信および名前空間とポッド間の通信には、
3. ポッドの IP ブロック通信の場合、
ポッド、名前空間、IP ベースのポリシーの違いに注意してください。ポッドベースおよび名前空間ベースのネットワーク ポリシーでは、セレクターを使用してトラフィックを制御しますが、IP ベースのネットワーク ポリシーでは、IP ブロック (CIDR 範囲) を使用して制御を定義します。 すべてをまとめると、ネットワーク ポリシーは次のようになります。
上記のネットワークポリシーを参照し、 このセクションでは、
次に、 まず、 この例では、ネットワーク ポリシーにより、次の場所からのポッド接続が許可されます。
次に、
ネットワークポリシーの制限ネットワーク ポリシーだけでは Kubernetes クラスターを完全に保護することはできません。既知の制限を克服するには、オペレーティング システム コンポーネントまたはレイヤー 7 ネットワーク テクノロジを使用できます。ネットワーク ポリシーは、IP アドレスとポート レベル、つまり、オープン システム相互接続 (OSI) アーキテクチャのレイヤー 3 または 4 のセキュリティのみに対応することを覚えておく必要があります。 ネットワーク ポリシーで処理できないセキュリティ要件に対処するには、他のセキュリティ ソリューションを使用する必要があります。ここでは、ネットワーク ポリシーを他のテクノロジーで拡張する必要がある、知っておく必要のあるユース ケースをいくつか示します。 要約するKubernetes ネットワーク ポリシーを理解することは重要です。これは、データ センター環境で通常使用するファイアウォール ロールを Kubernetes 用に適応させて実装する方法 (置き換えるのではなく) であるためです。これをコンテナ セキュリティの最初のレイヤーと考えてください。ネットワーク ポリシーだけに頼るのは完全なセキュリティ ソリューションにはなりません。 ネットワーク ポリシーは、セレクターとラベルを使用して、ポッドと名前空間にセキュリティを実装します。さらに、ネットワーク ポリシーでは IP 範囲ごとにセキュリティを強制できます。 ネットワーク ポリシーを適切に理解することは、Kubernetes 環境でコンテナ化を安全に導入するための重要なスキルです。 |
<<: Kubernetes のマルチコンテナ Pod 設計パターン
>>: AWS、GCP、Azure との交渉時に避けるべき 6 つのリスク
VPS 業界のベテラン ブランドである Linode は、このブラック フライデーにちょっとしたサプ...
現在、クラウド コンピューティングの導入は、ホスト型データ センター インフラストラクチャと同様の傾...
[51CTO.com からのオリジナル記事] クラウド コンピューティングが非常に広範囲に影響を及ぼ...
[[425706]]序文分散システムでは、Redis 分散ロックは比較的シンプルで効率的であり、多く...
PC 時代の検索エンジンの盛衰を目の当たりにしてきた経験豊富なSEOウェブマスターとして、私は有能な...
2018 年 4 月 10 日: Citrix は本日、Huayun Data との戦略的クラウド ...
数か月の計画を経て、hostdare.com はついに年間支払いの安価な VPS を手に入れました。...
[51CTO.com クイック翻訳] 新しいテクノロジーの出現、経済の不確実性、家電業界に対する規制...
インターネット社会がますます発達し、私たちが物と接する方法も変化し多様化しています。商品のプロモーシ...
ご存知のとおり、SEO の最も重要な 2 つのポイントはコンテンツと外部リンクです。これは、ウェブマ...
ramnode が 58% 割引をリリースしました。Ramnode 生涯割引コード: NUMBERO...
現在、デジタル変革はあらゆる分野において避けられない選択となっており、多くの企業がビジネスの回復力と...
最近、百度が新たにアップグレードした機能「百度ホームページに追加」について、皆さんも聞いたことがある...
1か月前、友人から企業ウェブサイトの SEO 診断を依頼されました。著者は、このサイトの PR 値が...
数年前まで遡ると、国内のインターネット市場は活況を呈し、多くの高品質なプラットフォームや企業が出現し...