备案控制台
阿里云 全部技术解决方案

ACK容器平台集群安全控制

相关产品

客户案例

相关推荐

杭州小电科技股份有限公司
杭州小电科技股份有限公司

小电成立于2016年,到(现在)杭州独角兽企业,致力于解决出行在外手机电量“红慌”痛点。目前小电共享充电服务已覆盖全国1600座县级以上城市,为2亿多用户提供共享充电服务,智享品质生活。

探索阿里云产品,构建云上应用和服务

免费试用

相关产品

客户案例

相关推荐

专有网络 VPC

帮助您基于阿里云构建出一个隔离的网络环境,并可以自定义IP 地址范围、网段、路由表和网关等;此外,也可以通过专线/VPN/GRE等连接方式实现云上VPC与传统IDC的互联,构建混合云业务。

负载均衡 SLB

对多台云服务器进行流量分发的负载均衡服务,可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。

容器服务 ACK

容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。

访问控制

RAM 使您能够安全地集中管理对阿里云服务和资源的访问。您可以使用 RAM 创建和管理用户和组,并使用各种权限来允许或拒绝他们对云资源的访问。

云速搭CADT

云速搭CADT是一款为上云应用提供自助式云架构管理的产品,显著地降低应用云上管理的难度和时间成本。本产品提供丰富的预制应用架构模板,同时也支持自助拖拽方式定义应用云上架构;支持较多阿里云服务的配置和管理。用户可以方便的对云上架构方案的成本、部署、运维、回收进行全生命周期的管理。
杭州小电科技股份有限公司
杭州小电科技股份有限公司

小电成立于2016年,到(现在)杭州独角兽企业,致力于解决出行在外手机电量“红慌”痛点。目前小电共享充电服务已覆盖全国1600座县级以上城市,为2亿多用户提供共享充电服务,智享品质生活。

云上网站经典架构

基于ECS、RDS和SLB经典云上架构,应对传统IDC在成本预估、系统稳定性、灾备等方面的挑战。
专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 对象存储 OSS 负载均衡 SLB CDN 云速搭CADT
云效+ACK构建容器云Devops平台

使用云效完成容器应用自动化构建和持续部署
专有网络 VPC 负载均衡 SLB 容器服务 ACK 云效 云速搭CADT
云桌面远程办公

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源
云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
电商网站业务安全

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作
云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理 云速搭CADT
基于ECI的ACK集群高弹性架构

使用ACK上运行常规业务,业务突发波动时突增业务运行在ECI上/达到成本的最优控制
云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 云数据库 Redis 版 弹性容器实例 ECI 云速搭CADT
自建Hadoop迁移MaxCompute

介绍如何将自建Hadoop集群及生态组件迁移到阿里云MaxCompute大数据服务。
云服务器ECS DataWorks 大数据计算服务 MaxCompute 云数据库 HBase 版 数据总线 云速搭CADT
基于MaxCompute的大数据BI分析

在互联网、电商及游戏等行业通常需要对海量数据做快速实时分析和决策/本文演示如何将业务数据和日志数据通过MaxCompute处理后汇总到ADB/并通过QuickBI等工具进行可视化分析的方案。
日志服务(SLS) 大数据计算服务 MaxCompute 云原生数据仓库AnalyticDB MySQL版 Quick BI 云速搭CADT
Spring Cloud Netflix应用迁移EDAS

Spring Cloud应用经过简单改造,迁移到云上企业级分布式应用服务(EDAS),利用EDAS的监控、调用链、限流降级
专有网络 VPC 云服务器ECS 负载均衡 SLB 企业级分布式应用服务 EDAS
Oracle数据库与应用迁移PolarDB

使用Oracle数据库的应用上云,通过ADAM评分、改造、迁移实现数据库迁移到PolarDB(Oracle兼容版),应用访问
专有网络 VPC 云服务器ECS 云数据库PolarDB 数据库和应用迁移 ADAM 云速搭CADT
微服务应用的Serverless(SAE)部署

介绍如何通过 Serverless 应用引擎(SAE)帮助企业极速构建云上微服务应用
专有网络 VPC 负载均衡 SLB 应用实时监控服务 ARMS 云监控 Serverless 应用引擎
服务器迁移

使用阿里云提供的迁移工具将物理服务器、虚拟机以及其他云平台云主机一站式地迁移到阿里云ECS
专有网络 VPC 云服务器ECS 服务器迁移中心 云速搭CADT
资源管理

指定结算账号统筹管理企业多个阿里云账号及资源,使用资源组按照项目或应用视角来进行分组管理和访问管控。
资源管理

探索阿里云产品,构建云上应用和服务

免费试用

温馨提示

抱歉,登录前您只能看到8页哦。立刻登录,浏览全部技术解决方案最佳实践案例内容!

如果您是企业账号,可以生成子账号授权访问。

BpFile(id=183, bpId=143, name=ACK容器平台集群安全控制, author=null, keyword=容器平台,安全控制, description=本方案实践主要是通过一些实践示例来介绍用户对于在阿里云上使用Kubernetes集群服务的容器平台安全管控的实践验证与使用建议, position=null, ossUrl=bp-EOEDT50KPY274345.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=1, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=

场景描述 本方案实践主要是通过一些实践示例来介绍 用户对于在阿里云上使用Kubernetes集群服 务的容器平台安全管控的实践验证与使用建 议。 方案优势 ⚫容器集群部署快捷 ⚫授权与安全策略配置方便 ⚫丰富的安全控制实践介绍 解决问题 ⚫容器集群API Server的安全访问控 制 ⚫容器服务多租户场景下的授权管理 ⚫容器中的敏感信息数据的存储 ⚫容器服务集群安全策略配置管理 产品列表 ⚫容器服务Kubernetes版 ⚫负载均衡SLB ⚫专有网络VPC ⚫访问控制RAM

, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=, buttonName=null, buttonUrl=null, targetId=MD3P8J6X34CVXJWY, partner=null, partnerUrl=null, partnerLogo=null, cooperation=null, cooperationList=null)
1 ACK容器平台集群安全控制 最佳实践 业务架构 场景描述 本方案实践主要是通过一些实践示例来介绍 用户对于在阿里云上使用 Kubernetes集群服 务的容器平台安全管控的实践验证与使用建 议。 方案优势 ⚫ 容器集群部署快捷 ⚫ 授权与安全策略配置方便 ⚫ 丰富的安全控制实践介绍 解决问题 ⚫ 容器集群 API Server的安全访问控 制 ⚫ 容器服务多租户场景下的授权管理 ⚫ 容器中的敏感信息数据的存储 ⚫ 容器服务集群安全策略配置管理 产品列表 ⚫ 容器服务 Kubernetes版 ⚫ 负载均衡 SLB ⚫ 专有网络 VPC ⚫ 访问控制 RAM
2文档模板(手册名称)/Error! Use the Home tab to apply 标 云服务器 ECS(产品名称) 题 to the text that you want to appear here. 阿里云 企业上云实践 ACK容器平台集群安全控制 最佳实践 文档版本:20200217(发布日期) 文档版本:20200217 1
3ACK容器平台集群安全控制最佳实践 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 ACK容器平台集群安全控制最佳实践 文档编号 143 文档版本 V1.0 版本日期 2020-02-17 文档状态 外部发布 制作人 明誉 审阅人 - 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2020-02-17 明誉 创建 文档版本:20200217 I
4ACK容器平台集群安全控制最佳实践 前言 前言 概述 本实践主要介绍阿里云容器服务 Kubernetes版(ACK)容器平台安全管控相关的最佳 实践。 应用范围 ⚫ 进行微服务容器化应用改造的用户 ⚫ 需要进行容器平台安全管控的用户 名词解释 ⚫ 访问控制(RAM):访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的 服务,实现不同用户拥有不同资源访问权限的目的。 ⚫ ACK:容器服务 ACK(Alibaba Cloud Container Service for Kubernetes)提供高 可性能可伸缩的容器应用管理服务,支持企业级 Kubernetes容器化应用的生命周 期管理。容器服务 ACK简化集群的搭建和扩容等运维工作,整合阿里云虚拟化、 存储、网络和安全能力,打造云端最佳的 Kubernetes容器化应用运行环境。 文档版本:20200217 III
5ACK容器平台集群安全控制最佳实践 最佳实践概述 最佳实践概述 概述 本方案实践主要是通过一些实践示例来介绍用户对于在阿里云上使用 Kubernetes 集 群服务的容器平台安全管控的实践验证与使用建议。 场景描述 随着容器服务的普及,用户在使用容器服务 Kubernetes时难免会遇到对于容器平台安 全管控的需求,例如如何对权限和资源的管控,如何存储私密数据的信息,如何安全 地访问容器集群的 API Server等,因此结合阿里云容器服务 Kubernetes版(ACK) 提供的能力进行相应的容器平台的安全管控实践就比较重要。 遇到的痛点: ⚫ 对于容器集群 API Server的安全访问控制 ⚫ 容器服务多租户场景下的授权策略管控 ⚫ 对于容器中的敏感信息数据的存储 ⚫ 容器服务 Kubernetes集群的安全策略管理 方案架构和优势 ⚫ 方案架构 文档版本:20200217 IV
6ACK容器平台集群安全控制最佳实践 最佳实践概述 ⚫ 方案优势 ᅳ 容器集群部署快捷 ᅳ 授权与安全策略配置方便 ᅳ 丰富的安全管控使用建议及演示 文档版本:20200217 V
7ACK容器平台集群安全控制最佳实践 目录 目录 文档版本信息 ........................................................................................................................................................ I 法律声明 ............................................................................................................................................................... II 前言 ..................................................................................................................................................................... III 最佳实践概述 ...................................................................................................................................................... IV 目录 ..................................................................................................................................................................... VI 前置条件 ............................................................................................................................................................... 7 1.前置条件 ............................................................................................................................................................ 8 1.1 创建阿里云 ACK标准专有集群.............................................................................................................. 8 1.2 设置阿里云 ACK API server的公网 SLB的访问控制策略 .................................................................... 28 1.3 SSH密钥对访问 Kubernetes集群.......................................................................................................... 31 2. Kubernetes集群 API Server认证与授权 ......................................................................................................... 32 2.1 Kubernetes API Server配置参数 ............................................................................................................ 32 2.2 Kubernetes的证书认证体系 ................................................................................................................. 34 2.2.1 API server CA信任链 ................................................................................................................... 34 2.3 Kubernetes的用户概念 ......................................................................................................................... 37 2.4 Kubernetes的 RBAC授权 ...................................................................................................................... 40 2.4.1 RBAC资源介绍............................................................................................................................ 40 2.4.2 Kubernetes集群子帐号 RBAC授权............................................................................................. 41 2.4.2.1 集群级别资源授权验证 .................................................................................................. 41 2.4.2.2 命名空间级别资源授权验证 ........................................................................................... 52 2.4.3 小结 ........................................................................................................................................... 54 3. Kubernetes集群的 Security Context ................................................................................................................ 55 3.1 Kubernetes集群 Security Context介绍 ................................................................................................. 55 3.2 Container-level Security Context示例 .................................................................................................... 55 3.3 Pod-level Security Context 示例............................................................................................................. 61 3.4 集群安全策略 PodSecurityPolicy(PSP)资源示例 .............................................................................. 63 4. Kubernetes集群敏感信息防护 ....................................................................................................................... 68 4.1 Kubernetes的 Secret概念 ..................................................................................................................... 68 4.2 限制 Pod可挂载的 Secret .................................................................................................................... 69 文档版本:20200217 VI
8ACK容器平台集群安全控制最佳实践 方案背景 前置条件 为了顺利完成本实践,您需要提前完成以下准备工作: ⚫ 注册阿里云账号,并完成实名认证。您可以登录阿里云控制台,并前往实名认证 页面(https://account.console.aliyun.com/v2/#/authc/home)查看是否已经完成 实名认证。 ⚫ 阿里云账户余额大于 100 元。您可以登录阿里云控制台,并前往账户总览页面 (https://expense.console.aliyun.com/#/account/home)查看账户余额。 文档版本:20200217 7