—/100
Checkpoints
Deployment steps
Set up Nginx
Set up AppArmor-loader
Set up Pod-labeler
Teardown
Sécuriser les applications sur Kubernetes Engine : trois exemples
GSP482
Présentation
Dans cet atelier, vous allez apprendre comment accorder différents niveaux de privilèges aux applications selon leurs exigences individuelles à l'aide des fonctionnalités de sécurité de Kubernetes Engine.
Lors de la configuration des paramètres de sécurité, il est nécessaire d'accorder aux applications le plus petit jeu de privilèges qui leur permette tout de même de fonctionner correctement. Des applications ayant plus de privilèges que nécessaire présentent un danger lorsqu'elles sont compromises. Dans un cluster Kubernetes, ces privilèges peuvent être regroupés dans les grands niveaux suivants :
- Accès à l'hôte : décrit les autorisations dont dispose une application sur son nœud hôte, en dehors de son conteneur. Cette opération est contrôlée à l'aide des contextes de sécurité du pod et du conteneur, ainsi que des profils AppArmor.
- Accès au réseau : décrit les autres ressources ou charges de travail auxquelles une application peut accéder en passant par le réseau. Cela est contrôlé avec NetworkPolicies.
- Accès aux API Kubernetes : décrit les appels d'API qu'une application est autorisée à effectuer. L'accès aux API est contrôlé grâce au modèle de Contrôle des accès basé sur les rôles (CABR) avec les définitions de Role et de RoleBinding.
Dans les sections ci-dessous, vous découvrirez trois scénarios avec différentes exigences de sécurité à chacun de ces trois niveaux :
Scénario | Accès à l'hôte | Accès au réseau | Accès aux API Kubernetes |
---|---|---|---|
Serveur Web renforcé (NGINX) | Minimum | Doit être capable de servir le port 80 | Aucun |
Boucle de contrôle Kubernetes (version de démonstration) | Minimum | Doit être capable d'accéder au serveur d'API | Liste et pods correctifs |
Daemonset privilégié (chargeur AppArmor) | Privilégié | Aucun | Aucun |
Cet atelier a été créé par les ingénieurs de GKE Helmsman pour vous aider à mieux comprendre la sécurité de GKE. Cliquez ici pour visualiser cette démonstration sur GitHub. Nous vous invitons tous à enrichir nos ressources !
Inscrivez-vous sur Qwiklabs pour consulter le reste de cet atelier, et bien plus encore.
- Obtenez un accès temporaire à Google Cloud Console.
- Plus de 200 ateliers, du niveau débutant jusqu'au niveau expert.
- Fractionné pour vous permettre d'apprendre à votre rythme.