前言
歡迎閱讀本書����,這是為希望安全可靠地運(yùn)行工作負(fù)載的Kubernetes 從業(yè)者準(zhǔn)備的。在撰寫本書時(shí)���,Kubernetes 已經(jīng)存在了大約六年�。有超過(guò)一百個(gè)經(jīng)認(rèn)證的Kubernetes 產(chǎn)品(https://oreil.ly/bo2xA)可用�����,如分發(fā)和托管服務(wù)��。隨著越來(lái)越多的組織決定將其工作負(fù)載轉(zhuǎn)移到Kubernetes����,我們想分享這一領(lǐng)域的經(jīng)驗(yàn),幫助你更安全可靠地部署和運(yùn)維工作負(fù)載�。感謝你加入我們的旅程,我們希望你在閱讀本書并應(yīng)用你所學(xué)知識(shí)時(shí)���,能像我們?cè)趯懽鞅緯鴷r(shí)一樣開(kāi)心���。
在前言中,我們將描繪我們的目標(biāo)讀者�����,聊聊我們?yōu)槭裁磳戇@本書��,并解釋我們認(rèn)為你應(yīng)該如何通過(guò)提供的快速內(nèi)容指南來(lái)使用它����。我們還將討論一些細(xì)節(jié),如Kubernetes 版本和使用慣例����。
關(guān)于讀者
為了更好地理解本書,我們假設(shè)你要么是DevOps 工程師�,要么是Kubernetes平臺(tái)工程師�,要么是云原生架構(gòu)師���,要么是站點(diǎn)可靠性工程師(SRE)���,要么是首席信息安全官(CISO)。我們進(jìn)一步假設(shè)你有興趣進(jìn)行實(shí)踐��,我們?cè)诶碚撋嫌懻撏{和防御的同時(shí)�,也會(huì)盡最大努力演示它們,并向你介紹可以幫助你的工具����。
在這一點(diǎn)上,我們還想確保你明白你正在讀的書是針對(duì)高級(jí)主題的�。我們假設(shè)你已經(jīng)熟悉Kubernetes,特別是Kubernetes 安全主題���,至少在表面上是這樣���。換句話說(shuō),我們不會(huì)詳細(xì)討論Kubernetes 是如何工作的���,而是在每章的基礎(chǔ)上總結(jié)或重述重要的概念或機(jī)制����。
特別是,我們假設(shè)你了解容器的用途以及它們?nèi)绾卧贙ubernetes 中運(yùn)行�����。如果你還不熟悉這些主題���,我們建議你做一些初步閱讀。以下是我們建議參考的書籍:
? Kubernetes: Up and Running (https://oreil.ly/k9ydo) by Brendan Burns, Kelsey Hightower, and Joe Beda (O ’Reilly)
? Managing Kubernetes (https://oreil.ly/cli0J) by Brendan Burns and Craig Tracey (O’Reilly)
? Kubernetes Security (https://oreil.ly/S8jQf) by Liz Rice and Michael Hausenblas (O’Reilly)
? Container Security (https://oreil.ly/Yh8EM) by Liz Rice (O ’Reilly)
? Cloud Native Security by Chris Binnie and Rory McCune (Wiley)
既然我們已經(jīng)清楚了這本書的目標(biāo)是什么����,以及在我們看來(lái),誰(shuí)將從中受益�����,那么讓我們轉(zhuǎn)向另一個(gè)話題:作者��。
關(guān)于作者
在設(shè)計(jì)����、運(yùn)行、攻擊和保護(hù)基于Kubernetes 的工作負(fù)載和集群方面�����,我們擁有超過(guò)10 年的實(shí)踐經(jīng)驗(yàn),基于這些經(jīng)驗(yàn)�����,我們希望為你(云原生安全從業(yè)者)提供所需的內(nèi)容����,從而幫助你在工作中獲得成功。
以史為鑒����,過(guò)去的錯(cuò)誤常常會(huì)給安全工作帶來(lái)啟發(fā),我們兩個(gè)都已經(jīng)學(xué)習(xí)(并且在犯錯(cuò)誤���。㎏ubernetes 安全一段時(shí)間了��。我們想確定我們對(duì)這個(gè)主題的理解是正確的����,所以我們寫了一本書��,通過(guò)一個(gè)共同的視角來(lái)驗(yàn)證我們的猜疑。我們都在不同的公司擔(dān)任過(guò)不同的角色�,參加過(guò)培訓(xùn)課程,發(fā)布過(guò)各種資料�����,從工具到博客文章���。我們還在各種公開(kāi)演講活動(dòng)中分享了在這個(gè)主題上學(xué)到的經(jīng)驗(yàn)���。我們?cè)谶@里的大部分動(dòng)機(jī)和我們使用的例子都源于我們?cè)谌粘9ぷ髦械慕?jīng)歷和/ 或我們?cè)诳蛻艄居^察到的事情��。
如何使用這本書
這本書是一本基于威脅的Kubernetes 安全指南���,使用普通的Kubernetes 安裝方案及其內(nèi)置的默認(rèn)配置作為起點(diǎn)��。我們將從運(yùn)行任意工作負(fù)載的分布式系統(tǒng)的抽象威脅模型開(kāi)始討論�����,然后詳細(xì)評(píng)估一個(gè)安全的Kubernetes 系統(tǒng)的每個(gè)組件�。在每一章中�,我們將研究組件的架構(gòu)和潛在的默認(rèn)設(shè)置,并回顧備受關(guān)注的攻擊和歷史上的通用漏洞披露(CVE)。我們還演示了攻擊并分享了最佳實(shí)踐配置��,以便從可能的攻擊角度演示加固集群�����。
為了幫助你瀏覽這本書���,這里有一個(gè)章節(jié)級(jí)的快速綱要:
? 第1 章“概述”���,我們?cè)O(shè)置了場(chǎng)景,介紹了我們的主要對(duì)手以及什么是威脅建模�。
? 第2 章“pod 資源詳情”,重點(diǎn)關(guān)注pod 的配置�、攻擊以及防御。
? 第3 章“容器運(yùn)行時(shí)隔離”����,深入沙箱和隔離技術(shù)。
? 第4 章“應(yīng)用程序和供應(yīng)鏈”�,將介紹供應(yīng)鏈攻擊,以及如何檢測(cè)和緩解它們�。
? 第5 章“網(wǎng)絡(luò)”,我們將審查網(wǎng)絡(luò)默認(rèn)設(shè)置以及如何保護(hù)你的集群和工作負(fù)載流量���。
? 第6 章“存儲(chǔ)”��,我們將重點(diǎn)轉(zhuǎn)移到持久性�����,看一看文件系統(tǒng)��、卷和靜態(tài)敏感信息�。
? 第7 章“硬性多租戶”,介紹了在集群中為多租戶運(yùn)行工作負(fù)載的主題�����,以及這可能會(huì)導(dǎo)致的問(wèn)題�����。
? 第8 章“策略”�����,我們將審查正在使用的各種策略�����,討論訪問(wèn)控制�,特別是基于角色的訪問(wèn)控制(RBAC),以及通用策略解決方案����,如OpenPolicy Agent (OPA)。
? 第9 章“入侵檢測(cè)”�,我們討論了這樣一個(gè)問(wèn)題:盡管已經(jīng)采取了控制措施,如果有人設(shè)法闖入�����,你該怎么辦��。
? 第10 章“組織”�����,這一章有些特殊���,因?yàn)樗⒉魂P(guān)注工具����,而是關(guān)注在云和本地安裝時(shí)��,人這一個(gè)因素。
? 在附錄A“pod 級(jí)攻擊”中����,我們將帶你親身體驗(yàn)第2 章中討論的pod 層面的攻擊。最后��,在附錄B“資料”中�����,我們將每一章的進(jìn)一步閱讀材料以及與本書相關(guān)的注釋簡(jiǎn)歷集合在一起�。
你不必按順序閱讀章節(jié),我們盡最大努力保持各章節(jié)獨(dú)立�����,并在適當(dāng)?shù)牡胤揭孟嚓P(guān)內(nèi)容�����。
請(qǐng)注意�,在編寫本書時(shí)����,Kubernetes 1.21 是最新的穩(wěn)定版本�。此處展示的大多數(shù)示例都適用于較早的版本���。并且我們充分意識(shí)到��,當(dāng)你閱讀本文時(shí)�����,當(dāng)前版本可能比現(xiàn)在高很多�。但這些概念在各版本間都保持不變�。
這本快速定位的簡(jiǎn)短指南就此完成,讓我們來(lái)看看書中使用的約定�。
排版約定
本書使用了下述排版約定。
斜體(Italic)
表示新術(shù)語(yǔ)���、URL�����、電子郵件地址����、文件名和擴(kuò)展名����。
等寬字體(Constant Width)
表示程序片段��,以及正文中出現(xiàn)的變量�、函數(shù)名��、數(shù)據(jù)庫(kù)�����、數(shù)據(jù)類型����、環(huán)境變量、語(yǔ)句和關(guān)鍵字等��。
使用代碼示例
補(bǔ)充材料可從以下網(wǎng)址獲得:http://hacking-kubernetes.info�����。
如果你有技術(shù)問(wèn)題或使用代碼示例的問(wèn)題��,請(qǐng)發(fā)送電子郵件至bookquestions@oreilly.com�。
這本書是來(lái)幫助你完成工作的。一般來(lái)說(shuō)��,如果本書提供了示例代碼����,你可以在你的程序和文檔中使用它。除非你要復(fù)制代碼的重要部分����,否則你不需要聯(lián)系我們以獲得許可。例如��,編寫的程序��,僅使用本書中幾段代碼�,那么就不需要許可。出售或分發(fā)O’Reilly 書籍中的例子需要得到許可��。通過(guò)引用這本書和引用示例代碼來(lái)回答問(wèn)題不需要許可�。將本書中的大量示例代碼并入到你的產(chǎn)品文檔中,那就需要許可��。
我們很感激�����, 但一般不需要署名���。署名通常包括標(biāo)題�����、作者�����、出版商和ISBN�。例如:“Hacking Kubernetes by Andrew Martin and Michael Hausenblas (O’Reilly).Copyright 2022 Andrew Martin and Michael Hausenblas,978-1-492-08173-9”��。
如果你覺(jué)得你對(duì)代碼示例的使用超出了合理使用或上述許可的范圍���,請(qǐng)隨時(shí)聯(lián)系我們permissions@oreilly.com����。
O’Reilly 在線學(xué)習(xí)平臺(tái)(O’Reilly Online Learning)
近40 年來(lái)�����,O’Reilly Media 致力于提供技術(shù)和商業(yè)培
訓(xùn)�、知識(shí)和卓越見(jiàn)解,來(lái)幫助眾多公司取得成功。
公司獨(dú)有的專家和改革創(chuàng)新者網(wǎng)絡(luò)通過(guò)O’Reilly 書籍�����、文章以及在線學(xué)習(xí)平臺(tái)�,分享他們的專業(yè)知識(shí)和實(shí)踐經(jīng)驗(yàn)�����。O’Reilly 在線學(xué)習(xí)平臺(tái)按照您的需要提供實(shí)時(shí)培訓(xùn)課程�����、深入學(xué)習(xí)渠道��、交互式編程環(huán)境以及來(lái)自O(shè)’Reilly 和其他200 多家出版商的大量書籍與視頻資料����。更多信息,請(qǐng)?jiān)L問(wèn)網(wǎng)站:https://www.oreilly.com/����。
聯(lián)系我們
任何有關(guān)本書的意見(jiàn)或疑問(wèn),請(qǐng)按照以下地址聯(lián)系出版社����。
美國(guó):
O’Reilly Media, Inc.
1005 Gravenstein Highway North
Sebastopol, CA 95472
中國(guó):
北京市西城區(qū)西直門南大街2 號(hào)成銘大廈C 座807 室(100035)
奧萊利技術(shù)咨詢(北京)有限公司
這本書有專屬網(wǎng)頁(yè)�,在那里我們列出了勘誤表��、例子和任何附加信息��。你可以通過(guò)以下網(wǎng)址訪問(wèn):https://oreil.ly/HackingKubernetes�。
如果你對(duì)本書有一些評(píng)論或技術(shù)上的建議,請(qǐng)發(fā)送電子郵件到errata@oreilly.com.cn�����。
要了解有關(guān)O’Reilly 書籍和課程的新聞和信息�,請(qǐng)?jiān)L問(wèn)http://oreilly.com。
我們的Facebook:http://facebook.com/oreilly��。
我們的Twitter:http://twitter.com/oreillymedia���。
我們的Youtube:http://www.youtube.com/oreillymedia���。
致謝
感謝我們的審校Roland Huss、Liz Rice���、Katie Gamanji�����、Ihor Dvoret-skyi��、Mark Manning 和Michael Gasch��。你們的評(píng)論對(duì)本書絕對(duì)有重要影響�,感謝你們的指導(dǎo)和建議����。
Andy 要感謝他的家人和朋友對(duì)他不斷地愛(ài)和鼓勵(lì),感謝鼓舞人心且精明干練的ControlPlane 團(tuán)隊(duì)孜孜不倦的深刻見(jiàn)解和指導(dǎo)��,以及不斷帶來(lái)啟發(fā)的cloud native security community�����,感謝他們持續(xù)的慷慨和才華����。特別感謝Rowan Baker、Kevin Ward��、Lewis Denham-Parry�、Nick Simpson�、Jack Kelly 和James Cleverley-Prance��。
Michael 想表達(dá)他最深切的感謝�,感謝支持他并且棒極了的家人:我們的孩子Saphira、Ranya 和Iannis����,我聰明有趣的妻子Anneli-ese,以及我們最棒的狗狗Snoopy����。
我們不能不提Hacking Kubernetes 的啟發(fā)者和導(dǎo)師的Twitter 列表(https://oreil.ly/xr1is),以字母順序排列的專家���,如@antitree�����、@bradgeesaman��、@brau_ner���、@christianposta、@dinodaizovi����、@erchiang�、@garethr�、@IanColdwater、@IanMLewis�、@jessfraz、@jonpulsifer�、@jpetazzo、@justincormack�、@kelseyhightower、@krisnova���、@kubernetesonarm、@liggitt�����、@lizrice��、@lordscyphar�、@lorenc_dan、@lumjjb����、@mauilion�、@MayaKaczorowski�����、@mikedanese����、@monadic���、@raesene����、@swagitda_�、@tabbysable�、@tallclair、@torresariass��、@WhyHiAnnabelle 和@and also our bestest of all dogs, Snoopy.
We would be remiss not to mention the Hacking Kubernetes Twitter list (https://oreil.ly/xr1is) of our inspirations and mentors, featuring alphabetized luminaries such as @antitree, @bradgeesaman, @brau_ner, @christianposta, @dinodaizovi,@erchiang, @garethr, @IanColdwater, @IanMLewis, @jessfraz, @jonpulsifer, @jpetazzo,@justincormack, @kelseyhightower, @krisnova, @kubernetesonarm, @liggitt,@lizrice, @lordcyphar, @lorenc_dan, @lumjjb, @mauilion, @MayaKaczorowski,@mikedanese, @monadic, @raesene, @swagitda_, @tabbysable, @tallclair, @torresariass,@WhyHiAnnabelle, and @captainHλ$?????A¢k.
Last but certainly not least, both authors thank the O’Reilly team, especially Angela Rufino, for shepherding us through the process of writing this book.
最后但同樣重要的是��,兩位作者都感謝O’Reilly 團(tuán)隊(duì)�,尤其是Angela Rufino,感謝他們帶領(lǐng)我們完成了這本書的寫作�。
書單推薦
