K8s安全加固实用秘籍

用了 Kubernetes 的企业，大家应该都有体会，集群跑久了实则还算稳，真正让人牙疼的是安全。一旦出点纰漏，影响面大得让人不敢想。有家公司前阵子就由于权限设计疏忽，员工一不留神把核心 POD 全删了，还好平时有做备份，要是没留后手，业务那是真就全线掉链子。这种报警钟响了多少次？讲实话，安全方面绝对是不能含糊的，什么措施都得一件一件落地，别只是纸上谈兵。

聊到这些事故，最容易掉坑的就是身份权限配置。说句实在的，运维或开发常常图省事，用 kube-admin 这样的大权账号，平时用着省心，出事就是大麻烦。这权限大到能管整个集群，给普通人用风险大得离谱。业内有团队专门去查权限绑定，结果发现好多账号直接被拉进了 cluster-admin，几乎什么都能看，什么都能改。这事放谁身上都得捏把汗。我个人觉得，部门之间权限隔离，细分一点才踏实。列如有的账号就能看 POD 信息，不让动，可以弄个 pod-reader 专属角色，用 RoleBinding 单独绑，权限就管在一道线之内。定期检查下 clusterrolebinding、system:masters，有没有多余的人混进来。这些小环节实际上就是给系统上锁，多几道保险，误操作的风险自然就降下去。

镜像安全也是大家容易忽视的点。目前随手拉个公开镜像，有可能把漏洞直接带进系统，等业务上线了才发现，已经晚了。解决这个问题最靠谱的办法，就是自己建仓库，Harbor 也好，Artifact Registry 也行。用内网的私有仓，镜像都受控，配合 CI 阶段加个 trivy 这类扫描工具，把有高危漏洞的镜像挡在上线门外。还有，可以装个 Admission Controller，自动卡掉那些没签名、没做过扫描的镜像，从入口上就堵死不安全的东西。这些步骤看着复杂，实则一旦流程固化了，日常操作就变成走流程，很难有漏网之鱼。

容器运行时安全这块，讲究超级多。许多人图省事，容器直接以 root 权限启动，甚至是特权模式，真要有安全问题就是主机全敞开了。怎么搞？设 securityContext，规定 runAsNonRoot，用户 ID 定在 1000 开外。这些基础设定想偷懒都没门，文件系统里能改的通通只读，readOnlyRootFilesystem 必须勾上。Pod Security Admission 推荐挑 restricted，强制 namespace 加 enforce 标签，让高风险操作直接被系统否掉。Seccomp、AppArmor、capabilities 这些东西要认真配置，seccompProfile 设置一下，capabilities 基本可以全 drop，特权容器 privileged 坚决不用，HostPath、HostNetwork 权限砍得再狠些，不给容器挂到主机路径的机会。

说到网络隔离，清楚的人都知道关键在于减少数据乱窜。用支持 CNI 的 NetworkPolicy，列如 Calico、Cilium，把 frontend 用 policy 限制死，只能访问 backend 的 80 端口。其他端口一律不通，服务间老死不相往来。配置的时候用 networking.k8s.io/v1，锁定 podSelector，只给挑中的 label 通信机会，端口协议写 TCP，端口直接写 80。这样一来，公司的业务网络就像分了格子，每个服务都关在自己的“小屋里”，信息泄漏的概率一下就降了。

做完安全配置还不够，运维层面，日志审计和检测绝对是高优先环节。把 audit-policy.yaml 配好，API server 的每个操作都能留下打印，RequestBody 按敏感程度单独设规则。APIServer 启动时指定 policy 路径和专属日志目录，记录详实一点。日志量大就结合聚焦收集，挂到 SIEM 系统分析，这样一遇到异常操作就能第一时间发现。再加上像 Falco 这种实时检测工具，有进程异常立刻报警，用 kubectl apply 部署相关规则，巡查起来便利不少。实话说，运维工作真是靠这些工具才站得住脚。

Kubelet 还有 API Server，本身就是控制中枢，加固工作千万不能马虎。API Server 强制用 TLS 超级关键，只有信得过的客户端才让连，端口也要限制，能关的都关掉，只开放管理专用端到运维网段。Kubelet 认证授权流程要全都启用，证书和凭证定期轮换，提议流程自动化，能省不少人力，且降低误配或者突然泄露的意外。

灾备、备份这些事，嘴上都在讲，做起来能偷懒的就偷懒。真等事故降临，唯有多份备份能救命。提议集群配置、核心数据都应该定期备份，地点分开，甚至不同存储服务备份一份，到时候业务拉起来完全不慌张。

部署和巡检阶段也不能小看，提议列个实际动作清单，列如每个月查一遍角色绑定、镜像安全、Pod 运行时配置、NetworkPolicy 执行状况、日志和审计数据的完整度……这些事情全靠手头落地，不能写个简单文档就算完。安排专人跟踪，出问题就有底线兜底，少一些心慌。

还有不少团队吃过权限配置不一致的亏，导致内网访问失控或数据泄漏。生产环境上线前，彻底检查一圈，发现问题补上，出错的概率就能压到最低。实则这些事不算难，Kubernetes 安全加固从身份配置、镜像安全、Pod细节到网络隔离、审计巡查、中心组件加固、定期备份，每一环都不能掉。就像修栅栏一样，围得牢靠，漏洞自然就少。哪一步不仔细，日后就容易被人点破，风险随时都有可能冒出来。唯有把流程写清楚，一步步做实，成为大家日常操作习惯，谁接手都得按这规矩来查验，安全井井有条，长久下来大致率不会出乱子。

换句话聊，Kubernetes 安全加固这事，责任大，杂事多。讲再多理论，真到自己干时才知难度，要一件件查、一条条看，手脚勤快才靠谱。不管谁在系统里头管着，都不能心存侥幸，细节补齐了，才能不出错。谁说企业用 Kubernetes 打理业务没压力，这安全课必须天天补。