安全

保护你的云原生工作负载的概念。

Kubernetes 文档的这一部分旨在帮助你学习如何更安全地运行工作负载，以及如何保证 Kubernetes 集群安全的关键方面。

Kubernetes 基于云原生架构，并借鉴了来自 CNCF 关于云原生信息安全最佳实践的建议。

阅读云原生安全与 Kubernetes，以获取关于如何保护集群以及在集群上运行的应用的更广泛信息。

Kubernetes 安全机制

Kubernetes 包含一些 API 和安全控制，以及定义可构成信息安全管理一部分的策略的方法。

任何 Kubernetes 集群的一项关键安全机制是控制对 Kubernetes API 的访问。

Kubernetes 要求你配置和使用 TLS 来提供控制平面内部以及控制平面与其客户端之间的传输中数据加密。你还可以对存储在 Kubernetes 控制平面内的数据启用静态数据加密；这与对你自己的工作负载数据使用静态数据加密是分开的，而后者可能也是个好主意。

The Secret API 为需要保密的配置值提供基本保护。

强制执行Pod 安全标准以确保 Pod 及其容器得到适当隔离。如果需要，你还可以使用RuntimeClasses来定义自定义隔离。

网络策略允许你控制 Pod 之间或 Pod 与集群外部网络之间的网络流量。

你可以部署更广泛生态系统中的安全控制，以围绕 Pod、其容器及其内部运行的镜像实现预防性或检测性控制。

准入控制器是拦截 Kubernetes API 请求的插件，可以根据请求中的特定字段对请求进行验证或修改。深思熟虑地设计这些控制器有助于避免 Kubernetes API 在版本更新中发生变更时出现意外中断。有关设计注意事项，请参阅准入 Webhook 最佳实践。

Kubernetes 审计日志提供了一组与安全相关的、按时间顺序排列的记录，记录了集群中的一系列操作。集群审计由用户、使用 Kubernetes API 的应用以及控制平面本身生成的活动。

注意： 本页上的项目引用了 Kubernetes 外部的厂商。Kubernetes 项目作者对这些第三方产品或项目不承担责任。要将厂商、产品或项目添加到此列表，请在提交更改之前阅读内容指南。更多信息。

如果你在自己的硬件或不同的云厂商上运行 Kubernetes 集群，请查阅其文档以获取安全最佳实践。以下是一些流行云厂商的安全文档链接：

云厂商安全
IaaS 厂商	链接
阿里云	https://www.alibabacloud.com/trust-center
Amazon Web Services	https://aws.amazon.com/security
Google Cloud Platform	https://cloud.google.com/security
华为云	https://www.huaweicloud.com/intl/en-us/securecenter/overallsafety
IBM Cloud	https://www.ibm.com/cloud/security
Microsoft Azure	https://docs.microsoft.com/en-us/azure/security/azure-security
Oracle Cloud Infrastructure	https://www.oracle.com/security
腾讯云	https://www.tencentcloud.com/solutions/data-security-and-information-protection
VMware vSphere	https://www.vmware.com/solutions/security/hardening-guides

你可以使用 Kubernetes 原生机制定义安全策略，例如 NetworkPolicy（网络包过滤的声明式控制）或 ValidatingAdmissionPolicy（对使用 Kubernetes API 进行变更的声明式限制）。

然而，你也可以依赖 Kubernetes 周边更广泛生态系统中的策略实现。Kubernetes 提供了扩展机制，允许这些生态系统项目在其各自的策略控制（例如源代码评审、容器镜像审批、API 访问控制、网络等）上实现自己的功能。

有关策略机制和 Kubernetes 的更多信息，请阅读策略。

了解相关的 Kubernetes 安全主题

了解上下文

获得认证

在此章节中阅读更多内容

本页中的项目引用了提供 Kubernetes 所需功能的第三方产品或项目。Kubernetes 项目作者对这些第三方产品或项目不承担责任。更多详细信息请参阅 CNCF 网站指南。

在提出添加额外第三方链接的更改之前，你应该阅读内容指南。