推荐：Portieris - Kubernetes的图像安全策略控制器

在Kubernetes世界中，保证镜像的安全性是至关重要的。Portieris，由IBM开发的一个开源项目，正是一款针对这一需求而设计的Kubernetes准入控制插件，用于实施图像安全策略。它允许你在每个命名空间或集群级别定义安全策略，并对不同镜像执行不同的规则。

工作原理

Portieris通过一个Kubernetes的变异准入 webhook，在资源创建时修改你的工作负载，确保仅运行符合政策规定的镜像。如果配置了信任强制，Portieris可以启用Docker Content Trust，或者验证Red Hat的简单签名模型，防止未经验证或不受信任的镜像被使用。

如果云提供商提供了一个Notary服务器（也称为Content Trust），Portieris会从该服务器获取与部署的镜像对应的信任数据。对于Red Hat的简单签名，签名必须通过注册表扩展API或配置的签名存储库可访问。

当你创建或编辑工作负载时，Kubernetes API服务器向Portieris发送请求，其中包含了工作负载的内容。Portieris会对每个镜像找到匹配的安全策略。如果策略启用了信任强制，Portieris会从相应的Notary服务器拉取签名信息，如果存在已签署的镜像版本，将创建一个JSON补丁，以摘要形式编辑工作负载中的镜像名称。如果在策略中指定了签发者，Portieris还会检查该镜像是由指定的角色签署，并验证指定的密钥是否用于签署镜像。

对于简单的签名，Portieris会使用公共密钥和身份规则进行验证，如果验证成功，则会将镜像名更改为摘要引用，以防并行标签更改影响正在拉取的镜像。

如果任何工作负载中的镜像不满足策略，整个工作负载都将被阻止部署。

Portieris为所有类型的工作负载接收AdmissionRequests，但在有已知父级存在的情况下批准请求，以防止影响自动恢复。

Portieris的准入webhook配置为"故障关闭"模式。三个Portieris实例确保自身升级和自动恢复能够被批准。如果所有的Portieris实例都不可用，Kubernetes不会自动恢复它，你需要删除MutatingAdmissionWebhook以允许Portieris恢复。

图像变异选项

默认行为是在成功准入时变异镜像引用，使其通过哈希摘要而不是标签引用镜像，这样可以极大地减少在验证后镜像被替换的可能性。这种保护措施避免了在入场和镜像拉取之间的时间窗口以及因重新调度导致的镜像再次拉取期间，镜像在注册表中被更改。但如果你的闭循环部署技术依赖于比较运行中的镜像参考，并看到一个突变的镜像参考作为不同，可能会尝试修正这个差异，从而产生无效果的无限循环。在这种情况下，你可以通过在策略行为设置中指定mutateImage: false来避免这种情况，但这会牺牲安全保障，让入场后的镜像重新拉取可能存在未验证的情况。请注意，不要与trust要求一起使用此选项，因为notaryV1标签与注册表标签没有直接关联，即使在稳定状态（无注册表更改）下，也可能运行未经验证的镜像。

安装Portieris

Portieris通过Helm图表安装。首先确保你的集群运行的是Kubernetes 1.16及以上版本，你的工作站上安装了Helm 3.0及以上版本。

具体的安装步骤可以在项目文档中找到，包括在默认命名空间portieris中安装，或其他命名空间中的安装，以及如何使用cert-manager管理证书等。

卸载Portieris

卸载Portieris也会删除所有的图像安全策略。使用以下命令进行卸载：

helm delete portieris --namespace <namespace>

如果你想删除命名空间，请手动运行：

kubectl delete namespace/<namespace>

图像安全策略

图像安全策略定义了Portieris在你集群中的行为。为了使Portieris执行所需的安全立场，你需要自定义策略。详细的策略描述可在单独的文档中找到。

配置安全策略访问控制

你可以通过Kubernetes的基于角色的访问控制（RBAC）规则，定义哪些用户和应用程序可以修改你的安全策略。有关更多信息，请参阅Kubernetes文档和IBM Cloud Kubernetes Service文档中的“使用IAM和Kubernetes RBAC控制用户访问”。

如果Portieris安装时启用了AllowAdmissionSkip=true，你可以通过给命名空间添加标签securityenforcement.admission.cloud.ibm.com/namespace: skip，防止Portieris的准入webhook在此命名空间中调用，这使得该命名空间中的Pod在准入webhook失效时仍能恢复，但请注意，该命名空间内的所有策略都不会被执行。例如，Portieris的安装命名空间就配置了此标签，以便Portieris本身在出现故障时能够恢复。请确保控制谁可以添加命名空间标签以及谁可以访问带有此标签的命名空间，以防止恶意方利用此标签绕过Portieris。

报告安全问题

报告安全问题时，不要公开创建issue，而是通过电子邮件私下发送至alchreg@uk.ibm.com。

Portieris是一个强大且灵活的工具，它增强了Kubernetes的安全性，让你的集群在保障安全的同时，更好地实现自动化管理和部署。立即加入社区，体验这款强大的开源项目吧！