更新时间:2023-07-06 GMT+08:00
CCE安全使用指引
节点安全加固说明
CCE服务的集群节点基于公有云IMS服务发布的公共镜像进行制作。CCE会对节点上安装的CCE软件进行安全加固,而OS相关的配置默认与公共镜像保持一致,用户应根据自身的安全诉求进行相应的安全加固。
容器安全使用建议
CCE给用户提供的是一个独享集群,不建议以共享集群方式为多租户使用。当用户以共享集群的方式提供给多租户使用时,请参考如下容器安全使用建议进行安全加固。
分类 |
安全使用建议 |
---|---|
权限最小化 |
|
默认不使用default serviceaccount下的Token。
|
|
网络隔离 |
集群内容器之间的网络隔离安全加固: 通过networkpolicy策略实现访问控制。 容器和集群外主机的网络隔离安全加固: 通过VPC内的安全组实现访问控制。 容器和集群管理面的网络隔离安全加固: 由于CCE集群是私有集群,且工作负载有访问集群apiserver的场景,因此CCE未限制容器和Kubernetes管理面的网络通信,用户如通过限制Pod的QoS保证加固网络安全。 |
禁止挂载敏感主机目录 |
|
父主题: 产品公告