尤妤

Pod安全性标准Pod安全性标准定义了三种不同的策略（Policy），广泛覆盖安全应用场景。这些策略是叠加式的，安全级别从高度宽松至高度受限 Privileges Privileged策略是有目的地开放且完全无限制的策略。此类策略通常针对由特权较高、受信任的用户所管理的系统级或基础设施级负载 Baseline Baseline 策略的目标是便于常见的容器化应用采用，同时禁止已知的特权提升。 此策略针对的是应用运维人员和非关键性应用的开发人员 Restricted Restricted 策略旨在实施当前保护 Pod 的最佳实践，尽管这样作可能会牺牲一些兼容性。 该类策略主要针对运维人员和安全性很重要的应用的开发人员，以及不太被信任的用户

审计Kubernetes审计提供了与安全相关的、按时间顺序排列的记录集，记录每个用户、使用Kubernetes API的应用以及控制平面自身引发的活动 审计功能可以让管理员回答以下问题： 发什么甚么事了 什么时候发生的 谁触发的事件记录 活动发生做哪些对象上（对哪些资源进行了变更） 在哪观察到的 它从哪触发的 活动的后续处理行为是什么 审计记录最初产生于kube-apiserver内部。每个请求在不同执行阶段都会生成审计事件；这些审计事件会根据特定策略被预处理并写入后端。策略确定要记录的内容和用来存储记录的后端。当前的后端支持日志文件和webhook 每个请求都可被记录其相关的阶段(Stage)。已定义的阶段有： RequestReceived 接收到请求，响应头发出之前记录审计日志 ResponseStarted 在响应消息的头部发送后，响应消息体发送前生成的事件，只有长时间运行的请求才会生成这个阶段 ResponseComplete 当响应消息体完成并且没有更多数据需要传输的时候 Panic 当panic发生时生成 审计策略Kubernetes审计策略定义了关于应记 ...

错误：Error executing action `run` on resource 'execute[/opt/gitlab/embedded/bin/initdb -D /var/opt/gitlab/postgresql/data -E UTF8]' ================================================================================ Mixlib::ShellOut::ShellCommandFailed ------------------------------------ Expected process to exit with [0], but received '1' ---- Begin output of /opt/gitlab/embedded/bin/initdb -D /var/opt/gitlab/postgresql/data -E UTF8 ---- STDOUT: The files belonging to this database ...

Kube-Benchkube-bench是一个工具，通过运行CIS Kubernetes基准测试中记录的检查来检查Kubernetes是否安全部署，测试使用YAML文件进行部署，使此工具易于随着测试规范的发展而更新 GitHub网站下载，我这里是CentOS8的环境因为有rpm包就直接安装，可以通过docker、二进制或其他方式进行安装 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192[root@xiaowangc ~]# wget https://github.com/aquasecurity/kube-bench/releases/download/v0.6.10/kube-bench_0.6.10_linux_amd64.rpm[root@xiaowangc ~]# dnf -y i ...

认证证书申请信息1234567891011121314151617181920Country Name (2 letter code) [XX]: 国家State or Province Name (full name) []: 省Locality Name (eg, city) [Default City]: 市Organization Name (eg, company) [Default Company Ltd]: 组织名称Organizational Unit Name (eg, section) []: 组织单位名称Common Name (eg, your name or your server's hostname) []: 主机名对应简写C 国家ST 省L 城市O 组织名称 # 对应K8S的组名 OU 组织单位名称CN 主机名 # 对应K8S的用户名 查看K8S资源12345678910111213141516171819202122232425262728293031323334353637383940# 非名称空间级别的资源(集群资源)[ro ...

Kubernetes组件 控制平面组件 kube-apiserver 负责公开了 Kubernetes API，负责处理接受请求的工作 etcd 高度可用的键值存储，k8s集群的数据库 kube-scheduler 负责监视新调度创建的、未指定运行节点的Pods， 并选择节点来让 Pod 在上面运行 调度决策考虑的因素包括单个 Pod 及 Pods 集合的资源需求、软硬件及策略约束、 亲和性及反亲和性规范、数据位置、工作负载间的干扰及最后时限 kube-controller-manager 节点控制器（Node Controller） 负责在节点出现故障时进行通知和响应 任务控制器（Job Controller） 监测一次性任务的Job对象，然后创建Pods来运行这些任务直至完成 端点分片控制器（EndpointSlice Controller） 填充端点分片(EndPointSlice)对象(对SVC和Pod之间进行关联) 服务账号控制器（Service Account Controller） 为新的名称空间创建默认的服务账号（SA） cloud-conroll ...

Unit相关 unit相关文件目录 12345/lib/systemd/system # 本地的系统单元/run/systemd/system # 运行时的系统单元/usr/lib/systemd/system # 第三方的系统单元/etc/systemd/system # Systgemd默认从这个目录读取单元/etc/systemd/system/multi-user.target.wants # systemd开机自动启动此目录的单元,当配置enable时就会自动创建链接文件到此目录 unit分类 Service Unit：系统服务 Target Unit：由多个Unit构成的 Device Unit：硬件设备 Mount Unit：文件系统的挂载点 Automount Unit：自动挂载点 Path Unit：文件或路径 Slice Unit：进程组 Snapshot Unit：快照 Socket Unit：进程间通信的Socket Swap Unit：Swap文件 Time Unit：定时器 查看单元命令 1234[root@gateway ~]# system ...

etcd备份命令12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970# 前提需要安装etcdctl工具# https://github.com/etcd-io/etcd/# 查看etcd集群状态[root@master1 ~]# etcdctl \--endpoints master1.xiaowangc.local:2379,master2.xiaowangc.local:2379,master3.xiaowangc.local:2379 \--cacert /etc/kubernetes/pki/etcd/ca.crt \--cert /etc/kubernetes/pki/etcd/server.crt \--key /etc/kubernetes/pki/etcd/server.key \--write-out=table endpoint status +------- ...

快速帮助1：要将简单PEM或DER文件格式的证书添加到系统上受信任的CA列表中，请执行以下操作：·将其作为新文件添加到/etc/pki/catrust/source/achors目录/·运行更新ca信任提取 快速帮助2：如果您的证书是扩展的BEGIN TRUSTED文件格式（可能包含不信任/黑名单信任标志，或TLS以外的其他用途的信任标志），则：·将其作为新文件添加到/etc/pki/catrust/source目录/·运行更新ca信任提取 为了提供简单性和灵活性，证书文件的处理方式取决于它们安装到的子目录。·简单信任锚子目录：/usr/share/pki/ca-trust-source/achors/或/etc/pki/ca-trust/source/achors/·简单黑名单（不信任）子目录：/usr/share/p ...

CentOS8安装中文语言包[root@gateway ~]# dnf -y install langpacks-zh_CN[root@gateway ~]# vi /etc/locale.confLANG=”zh_CN.UTF-8”[root@gateway ~]# LANG=”zh_CN.UTF-8”