menu
arrow_back

Segurança de aplicativos no Kubernetes Engine – Três exemplos

—/100

Checkpoints

arrow_forward

Deployment steps

Set up Nginx

Set up AppArmor-loader

Set up Pod-labeler

Segurança de aplicativos no Kubernetes Engine – Três exemplos

1 hora 9 créditos

GSP482

Laboratórios autoguiados do Google Cloud

Visão geral

Neste laboratório, você aprenderá a usar os recursos de segurança do Kubernetes Engine para conceder diferentes níveis de privilégio a aplicativos com base nos requisitos específicos deles.

Ao configurar a segurança, conceda aos aplicativos o menor conjunto de privilégios possível para uma operação normal. Os aplicativos com mais privilégios que o necessário ficam mais perigosos quando comprometidos. Em um cluster do Kubernetes, é possível agrupar esses privilégios nos seguintes níveis abrangentes:

  • Acesso ao host: descreve quais são as permissões de um aplicativo no nó do host, fora do contêiner. Isso é controlado pelos contextos de segurança do pod e do contêiner, assim como nos perfis AppArmor.
  • Acesso à rede: descreve quais outros recursos ou cargas de trabalho um aplicativo pode acessar pela rede. Isso é controlado com o NetworkPolicies.
  • Acesso à API Kubernetes: descreve em quais chamadas de API um aplicativo pode fazer consultas. O acesso à API é controlado pelo modelo de controle de acesso com base no papel atribuído (RBAC, na sigla em inglês) com as definições Role e RoleBinding.

Nas seções a seguir, você verá três cenários com requisitos de segurança diferentes em cada um desses níveis:

Cenário Acesso ao host Acesso à rede Acesso à API Kubernetes
Servidor da Web com mais proteção (NGINX) Mínimo Precisa atender na porta 80 Nenhum
Controlador do Kubernetes (demonstração) Mínimo Precisa acessar o servidor da API Listar e aplicar patch aos pods
Daemonset privilegiado (carregador do AppArmor) Privilegiado Nenhum Nenhum

Este laboratório foi criado pelos engenheiros do GKE Helmsman para você entender melhor a segurança do GKE. Clique aqui para ver esta demonstração no GitHub. Incentivamos todos a contribuir com nossos recursos.

Participe do Qwiklabs para ler o restante deste laboratório e muito mais!

  • Receber acesso temporário a Console do Google Cloud.
  • Mais de 200 laboratórios, do nível iniciante ao avançado.
  • Tamanho compacto para que você possa aprender no seu próprio ritmo.
Participe para iniciar este laboratório