推荐:Portieris - Kubernetes的图像安全策略控制器
在Kubernetes世界中,保证镜像的安全性是至关重要的。Portieris,由IBM开发的一个开源项目,正是一款针对这一需求而设计的Kubernetes准入控制插件,用于实施图像安全策略。它允许你在每个命名空间或集群级别定义安全策略,并对不同镜像执行不同的规则。
工作原理
Portieris通过一个Kubernetes的变异准入 webhook,在资源创建时修改你的工作负载,确保仅运行符合政策规定的镜像。如果配置了信任强制,Portieris可以启用Docker Content Trust,或者验证Red Hat的简单签名模型,防止未经验证或不受信任的镜像被使用。
如果云提供商提供了一个Notary服务器(也称为Content Trust),Portieris会从该服务器获取与部署的镜像对应的信任数据。对于Red Hat的简单签名,签名必须通过注册表扩展API或配置的签名存储库可访问。
当你创建或编辑工作负载时,Kubernetes API服务器向Portieris发送请求,其中包含了工作负载的内容。Portieris会对每个镜像找到匹配的安全策略。如果策略启用了信任强制,Portieris会从相应的Notary服务器拉取签名信息,如果存在已签署的镜像版本,将创建一个JSON补丁,以摘要形式编辑工作负载中的镜像名称。如果在策略中指定了签发者,Portieris还会检查该镜像是由指定的角色签署,并验证指定的密钥是否用于签署镜像。
对于简单的签名,Portieris会使用公共密钥和身份规则进行验证,如果验证成功,则会将镜像名更改为摘要引用,以防并行标签更改影响正在拉取的镜像。
如果任何工作负载中的镜像不满足策略,整个工作负载都将被阻止部署。
Portieris为所有类型的工作负载接收AdmissionRequests,但在有已知父级存在的情况下批准请求,以防止影响自动恢复。
Portieris的准入webhook配置为"故障关闭"模式。三个Portieris实例确保自身升级和自动恢复能够被批准。如果所有的Portieris实例都不可用,Kubernetes不会自动恢复它,你需要删除MutatingAdmissionWebhook以允许Portieris恢复。
图像变异选项
默认行为是在成功准入时变异镜像引用,使其通过哈希摘要而不是标签引用镜像,这样可以极大地减少在验证后镜像被替换的可能性。这种保护措施避免了在入场和镜像拉取之间的时间窗口以及因重新调度导致的镜像再次拉取期间,镜像在注册表中被更改。但如果你的闭循环部署技术依赖于比较运行中的镜像参考,并看到一个突变的镜像参考作为不同,可能会尝试修正这个差异,从而产生无效果的无限循环。在这种情况下,你可以通过在策略行为设置中指定mutateImage: false来避免这种情况,但这会牺牲安全保障,让入场后的镜像重新拉取可能存在未验证的情况。请注意,不要与trust要求一起使用此选项,因为notaryV1标签与注册表标签没有直接关联,即使在稳定状态(无注册表更改)下,也可能运行未经验证的镜像。
安装Portieris
Portieris通过Helm图表安装。首先确保你的集群运行的是Kubernetes 1.16及以上版本,你的工作站上安装了Helm 3.0及以上版本。
具体的安装步骤可以在项目文档中找到,包括在默认命名空间portieris中安装,或其他命名空间中的安装,以及如何使用cert-manager管理证书等。
卸载Portieris
卸载Portieris也会删除所有的图像安全策略。使用以下命令进行卸载:
helm delete portieris --namespace <namespace>
如果你想删除命名空间,请手动运行:
kubectl delete namespace/<namespace>
图像安全策略
图像安全策略定义了Portieris在你集群中的行为。为了使Portieris执行所需的安全立场,你需要自定义策略。详细的策略描述可在单独的文档中找到。
配置安全策略访问控制
你可以通过Kubernetes的基于角色的访问控制(RBAC)规则,定义哪些用户和应用程序可以修改你的安全策略。有关更多信息,请参阅Kubernetes文档和IBM Cloud Kubernetes Service文档中的“使用IAM和Kubernetes RBAC控制用户访问”。
如果Portieris安装时启用了AllowAdmissionSkip=true,你可以通过给命名空间添加标签securityenforcement.admission.cloud.ibm.com/namespace: skip,防止Portieris的准入webhook在此命名空间中调用,这使得该命名空间中的Pod在准入webhook失效时仍能恢复,但请注意,该命名空间内的所有策略都不会被执行。例如,Portieris的安装命名空间就配置了此标签,以便Portieris本身在出现故障时能够恢复。请确保控制谁可以添加命名空间标签以及谁可以访问带有此标签的命名空间,以防止恶意方利用此标签绕过Portieris。
报告安全问题
报告安全问题时,不要公开创建issue,而是通过电子邮件私下发送至alchreg@uk.ibm.com。
Portieris是一个强大且灵活的工具,它增强了Kubernetes的安全性,让你的集群在保障安全的同时,更好地实现自动化管理和部署。立即加入社区,体验这款强大的开源项目吧!
相关内容推荐
ERNIE-4.5-VL-28B-A3B-ThinkingERNIE-4.5-VL-28B-A3B-Thinking 是 ERNIE-4.5-VL-28B-A3B 架构的重大升级,通过中期大规模视觉-语言推理数据训练,显著提升了模型的表征能力和模态对齐,实现了多模态推理能力的突破性飞跃Python00
Kimi-K2-ThinkingKimi K2 Thinking 是最新、性能最强的开源思维模型。从 Kimi K2 开始,我们将其打造为能够逐步推理并动态调用工具的思维智能体。通过显著提升多步推理深度,并在 200–300 次连续调用中保持稳定的工具使用能力,它在 Humanity's Last Exam (HLE)、BrowseComp 等基准测试中树立了新的技术标杆。同时,K2 Thinking 是原生 INT4 量化模型,具备 256k 上下文窗口,实现了推理延迟和 GPU 内存占用的无损降低。Python00
MiniMax-M2MiniMax-M2是MiniMaxAI开源的高效MoE模型,2300亿总参数中仅激活100亿,却在编码和智能体任务上表现卓越。它支持多文件编辑、终端操作和复杂工具链调用Python00
HunyuanVideo-1.5暂无简介00
MiniCPM-V-4_5MiniCPM-V 4.5 是 MiniCPM-V 系列中最新且功能最强的模型。该模型基于 Qwen3-8B 和 SigLIP2-400M 构建,总参数量为 80 亿。与之前的 MiniCPM-V 和 MiniCPM-o 模型相比,它在性能上有显著提升,并引入了新的实用功能Python00
Spark-Formalizer-X1-7BSpark-Formalizer 是由科大讯飞团队开发的专用大型语言模型,专注于数学自动形式化任务。该模型擅长将自然语言数学问题转化为精确的 Lean4 形式化语句,在形式化语句生成方面达到了业界领先水平。Python00
GOT-OCR-2.0-hf阶跃星辰StepFun推出的GOT-OCR-2.0-hf是一款强大的多语言OCR开源模型,支持从普通文档到复杂场景的文字识别。它能精准处理表格、图表、数学公式、几何图形甚至乐谱等特殊内容,输出结果可通过第三方工具渲染成多种格式。模型支持1024×1024高分辨率输入,具备多页批量处理、动态分块识别和交互式区域选择等创新功能,用户可通过坐标或颜色指定识别区域。基于Apache 2.0协议开源,提供Hugging Face演示和完整代码,适用于学术研究到工业应用的广泛场景,为OCR领域带来突破性解决方案。00
最新内容推荐
项目优选
kernel
nop-entropy
Cangjie-Examples
flutter_flutter
leetcode
openHiTLS
ops-math
RuoYi-Vue3
gitea
cherry-studio