menu
arrow_back

Kubernetes Engine でアプリケーションを保護する - 3 つの例

—/100

Checkpoints

arrow_forward

Deployment steps

Set up Nginx

Set up AppArmor-loader

Set up Pod-labeler

Kubernetes Engine でアプリケーションを保護する - 3 つの例

1時間 クレジット: 9

GSP482

Google Cloud セルフペース ラボ

概要

このラボでは、Kubernetes Engine のセキュリティ機能を使用して、特定の要件に基づきアプリケーションにさまざまなレベルの権限を付与する方法について学びます。

セキュリティを設定する際には、アプリケーションに対して、正しく動作するために必要な最小限の権限を付与する必要があります。アプリケーションに必要以上の権限を与えると、不正使用された場合の危険性が増します。Kubernetes クラスタでは、これらの権限を次のような広いレベルのグループに分類できます。

  • ホストアクセス: アプリケーションがコンテナ外部のホストノードでどのような権限を持つかを示します。これは Pod とコンテナのセキュリティ コンテキスト、およびアプリの Armor プロファイルによって制御されます。
  • ネットワーク アクセス: アプリケーションがネットワーク経由でアクセスできる他のリソースまたはワークロードを示します。これは NetworkPolicies によって制御されます。
  • Kubernetes API アクセス: アプリケーションで実行が許可されている API 呼び出しを示します。API アクセスは、Role と RoleBinding の定義によりロールベースのアクセス制御(RBAC)モデルを使用して制御されます。

以下のセクションでは、これらの各レベルで固有のセキュリティ要件を持つ 3 つの事例について詳しく見ていきます。

事例 ホストアクセス ネットワーク アクセス Kubernetes API アクセス
強化されたウェブサーバー(NGINX) 最小 ポート 80 を利用できる必要がある なし
Kubernetes コントローラ(デモ) 最小 API サーバーにアクセスできる必要がある Pod の一覧表示とパッチ適用
特権付き Daemonset(AppArmor ローダ) 特権付き なし なし

このラボは、GKE(Google Kubernetes Engine)のセキュリティに関する理解を深めるために GKE Helmsman のエンジニアによって作成されました。デモは GitHub でご覧いただけます。このアセットへのコントリビューションをぜひお寄せください。

Qwiklabs に参加してこのラボの残りの部分や他のラボを確認しましょう。

  • Google Cloud Console への一時的なアクセス権を取得します。
  • 初心者レベルから上級者レベルまで 200 を超えるラボが用意されています。
  • ご自分のペースで学習できるように詳細に分割されています。
参加してこのラボを開始