Лучше конечно вместо Flannel использовать другой CNI плагин – Calico или Cilium например. Дело в том, что Flannel не поддерживает NetwokPolicy, что с точки зрения безопасности не есть хорошо.
1) Использовать PodTolerationRestriction admission controller. Для этого нужно поправить манифест KubeAPI и добавить флаг --enable-admission-plugins. Дальше для нужного неймспейса присваиваем annotations, которые подскажут admission controller из какого неймспейса нельзя будет зашедулить Pods на Master Node.
Согласен с @Kliffoth
И что значит ?
для тех кто гонится за маленьким пингом из Петербурга
firstbyte, есть VPS в Финляндии, выходит около 300₽
Лучше конечно вместо Flannel использовать другой CNI плагин – Calico или Cilium например. Дело в том, что Flannel не поддерживает NetwokPolicy, что с точки зрения безопасности не есть хорошо.
Как по мне, Kyverno один из самых удобных Policy Engine, только потому что правила там описываются декларативно в YAML. Kubernetes Native всё-таки)
министерство обороны прокомментировали ТАСС, что необходимо
Есть несколько способов:
1) Использовать PodTolerationRestriction admission controller. Для этого нужно поправить манифест KubeAPI и добавить флаг
--enable-admission-plugins.
Дальше для нужного неймспейса присваиваем annotations, которые подскажут admission controller из какого неймспейса нельзя будет зашедулить Pods на Master Node.scheduler.alpha.kubernetes.io/tolerationsWhitelist: '[{"operator": "Exists", "effect": "NoExecute", "tolerationSeconds": 300, "key": "node.kubernetes.io/not-ready"},{"operator": "Exists", "effect": "NoExecute", "tolerationSeconds": 300, "key": "node.kubernetes.io/unreachable"}]'
2) Запретить использование hostPath. Тут как вариант можно использовать всякие Policy engine, типа Kyverno или OPA Gatekeeper
3) Использовать prevention, например AppArmor. Можно запретить чтение определенных файлов или исполнение определенных процессов.
4) Не запускать контейнер из под рута. Файл ca.key доступен только root пользователю
Falco это же не сканер, а инструмент из разряда runtime security
спасибо, исправил
спасибо! комментарии оставлял для препода, переписывать их потом уже не хотелось
OPA конечно хорошо, но всё-таки более Kubernetes native будет Kyverno. Да и правила там писать куда проще.
Ссылка на гитхаб в конце статьи
Видимо из-за скомпилированного exe-шника, могу убрать его из репы. Все исходники открытые, там нет ничего такого
Я думал что про русские шашки никто не знает, но про русские шахматы действительно слышу впервые
спасибо, поправлю