menu
arrow_back

Cómo proteger aplicaciones en Kubernetes Engine - Tres ejemplos

—/100

Checkpoints

arrow_forward

Deployment steps

Set up Nginx

Set up AppArmor-loader

Set up Pod-labeler

Teardown

Cómo proteger aplicaciones en Kubernetes Engine - Tres ejemplos

1 hora 9 créditos

GSP482

Labs de autoaprendizaje de Google Cloud

Descripción general

En este lab, aprenderá cómo se pueden usar las funciones de seguridad de Kubernetes Engine para otorgar diversos niveles de privilegio a las aplicaciones según sus requisitos particulares.

Al configurar la seguridad, las aplicaciones deben tener el conjunto mínimo de privilegios que les permita seguir operando de forma correcta. Si las aplicaciones tienen más privilegios de los que necesitan, son más peligrosas cuando se vulneran. En un clúster de Kubernetes, estos privilegios se pueden agrupar dentro de los siguientes niveles amplios:

  • Acceso al host: Describe los permisos que tiene una aplicación en el nodo de su host, fuera de su contenedor. Esto se controla a través de los contextos de seguridad del Pod y del contenedor, y también a través de los perfiles de AppArmor.
  • Acceso a la red: Describe los demás recursos o cargas de trabajo a los que puede acceder una aplicación a través de la red. Esto se controla mediante las NetworkPolicies.
  • Acceso a la API de Kubernetes: Describe las llamadas a la API que puede realizar una aplicación. El acceso a la API se controla con el modelo de Control de acceso según la función (RBAC) a través de las definiciones de Role y RoleBinding.

En las secciones a continuación, explorará tres situaciones con diferentes requisitos de seguridad en cada uno de esos niveles:

Situación Acceso al host Acceso a la red Acceso a la API de Kubernetes
Servidor web endurecido (NGINX) Mínimo Debe poder entregar tráfico al puerto 80 Ninguno
Controlador de Kubernetes (Demostración) Mínimo Debe poder acceder al servidor de la API Enumerar Pods y aplicar parches
Daemonset con privilegios (Cargador de AppArmor) Con privilegios Ninguno Ninguno

Los ingenieros de GKE Helmsman crearon este lab para ayudarlo a comprender mejor el funcionamiento de la seguridad de GKE. Para ver esta demostración en GitHub, haga clic aquí. Invitamos a todos a contribuir con nuestros recursos.

Únase a Qwiklabs para leer este lab completo… y mucho más.

  • Obtenga acceso temporal a Google Cloud Console.
  • Más de 200 labs para principiantes y niveles avanzados.
  • El contenido se presenta de a poco para que pueda aprender a su propio ritmo.
Únase para comenzar este lab