Ctrl+F / Command+F 全文检索
客户案例

相关最佳实践
业务上云 |

传统企业、零售和游戏行业系统分级后单库单服系统云上搭建最佳实践,涉及大部分基础云产品。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB CDN 云速搭
DevOps | 容器&微服务 |

使用云效完成容器应用自动化构建和持续部署

专有网络 VPC 负载均衡 SLB 容器服务 ACK 云效 云速搭
业务上云 |

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源

云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
安全&合规 |

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作

云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理
容器&微服务 |

使用ACK上运行常规业务,业务突发波动时突增业务运行在ECI上/达到成本的最优控制

云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 云数据库 Redis 版 弹性容器实例 ECI 云速搭
数据分析 | 数据迁移 |

介绍如何将自建Hadoop集群及生态组件迁移到阿里云MaxCompute大数据服务。

云服务器ECS DataWorks 大数据计算服务 MaxCompute 云数据库 HBase 版 数据总线 云速搭
中间件 | 容器&微服务 |

Spring Cloud应用经过简单改造,迁移到云上企业级分布式应用服务(EDAS),利用EDAS的监控、调用链、限流降级

专有网络 VPC 云服务器ECS 负载均衡 SLB 企业级分布式应用服务 EDAS
业务上云 | 数据库 |

使用Oracle数据库的应用上云,通过ADAM评分、改造、迁移实现数据库迁移到PolarDB(Oracle兼容版),应用访问

专有网络 VPC 云服务器ECS 云数据库PolarDB 数据库和应用迁移 ADAM
中间件 |

介绍如何用 Serverless 应用引擎(SAE)帮助企业极速构建云上微服务应用

专有网络 VPC 负载均衡 SLB 应用实时监控服务 ARMS 云监控 Serverless 应用引擎

温馨提示

未登录用户仅可预览8页内容,请您前往登录后浏览更多企业上云最佳实践案例内容。企业账号建议生成子账号授权访问。

BpFile(id=183, bpId=143, name=ACK容器平台集群安全控制, author=null, keyword=容器平台,安全控制, description=本方案实践主要是通过一些实践示例来介绍用户对于在阿里云上使用Kubernetes集群服务的容器平台安全管控的实践验证与使用建议, position=null, ossUrl=bp-FOHD2RSKRAAV38EB.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=0, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=场景描述 本方案实践主要是通过一些实践示例来介绍 用户对于在阿里云上使用Kubernetes集群服 务的容器平台安全管控的实践验证与使用建 议。 方案优势 ⚫容器集群部署快捷 ⚫授权与安全策略配置方便 ⚫丰富的安全控制实践介绍 解决问题 ⚫容器集群API Server的安全访问控 制 ⚫容器服务多租户场景下的授权管理 ⚫容器中的敏感信息数据的存储 ⚫容器服务集群安全策略配置管理 产品列表 ⚫容器服务Kubernetes版 ⚫负载均衡SLB ⚫专有网络VPC ⚫访问控制RAM, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=, buttonName=null, buttonUrl=null, targetId=null, partner=null, partnerUrl=null, partnerLogo=null)
1 ACK容器平台集群安全控制 最佳实践 业务架构 场景描述 本方案实践主要是通过一些实践示例来介绍 用户对于在阿里云上使用 Kubernetes集群服 务的容器平台安全管控的实践验证与使用建 议。 方案优势 ⚫ 容器集群部署快捷 ⚫ 授权与安全策略配置方便 ⚫ 丰富的安全控制实践介绍 解决问题 ⚫ 容器集群 API Server的安全访问控 制 ⚫ 容器服务多租户场景下的授权管理 ⚫ 容器中的敏感信息数据的存储 ⚫ 容器服务集群安全策略配置管理 产品列表 ⚫ 容器服务 Kubernetes版 ⚫ 负载均衡 SLB ⚫ 专有网络 VPC ⚫ 访问控制 RAM
2文档模板(手册名称)/Error! Use the Home tab to apply 标 云服务器 ECS(产品名称) 题 to the text that you want to appear here. 阿里云 企业上云实践 ACK容器平台集群安全控制 最佳实践 文档版本:20200217(发布日期) 文档版本:20200217 1
3ACK容器平台集群安全控制最佳实践 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 ACK容器平台集群安全控制最佳实践 文档编号 143 文档版本 V1.0 版本日期 2020-02-17 文档状态 外部发布 制作人 明誉 审阅人 - 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2020-02-17 明誉 创建 文档版本:20200217 I
4ACK容器平台集群安全控制最佳实践 前言 前言 概述 本实践主要介绍阿里云容器服务 Kubernetes版(ACK)容器平台安全管控相关的最佳 实践。 应用范围 ⚫ 进行微服务容器化应用改造的用户 ⚫ 需要进行容器平台安全管控的用户 名词解释 ⚫ 访问控制(RAM):访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的 服务,实现不同用户拥有不同资源访问权限的目的。 ⚫ ACK:容器服务 ACK(Alibaba Cloud Container Service for Kubernetes)提供高 可性能可伸缩的容器应用管理服务,支持企业级 Kubernetes容器化应用的生命周 期管理。容器服务 ACK简化集群的搭建和扩容等运维工作,整合阿里云虚拟化、 存储、网络和安全能力,打造云端最佳的 Kubernetes容器化应用运行环境。 文档版本:20200217 III
5ACK容器平台集群安全控制最佳实践 最佳实践概述 最佳实践概述 概述 本方案实践主要是通过一些实践示例来介绍用户对于在阿里云上使用 Kubernetes 集 群服务的容器平台安全管控的实践验证与使用建议。 场景描述 随着容器服务的普及,用户在使用容器服务 Kubernetes时难免会遇到对于容器平台安 全管控的需求,例如如何对权限和资源的管控,如何存储私密数据的信息,如何安全 地访问容器集群的 API Server等,因此结合阿里云容器服务 Kubernetes版(ACK) 提供的能力进行相应的容器平台的安全管控实践就比较重要。 遇到的痛点: ⚫ 对于容器集群 API Server的安全访问控制 ⚫ 容器服务多租户场景下的授权策略管控 ⚫ 对于容器中的敏感信息数据的存储 ⚫ 容器服务 Kubernetes集群的安全策略管理 方案架构和优势 ⚫ 方案架构 文档版本:20200217 IV
6ACK容器平台集群安全控制最佳实践 最佳实践概述 ⚫ 方案优势 ᅳ 容器集群部署快捷 ᅳ 授权与安全策略配置方便 ᅳ 丰富的安全管控使用建议及演示 文档版本:20200217 V
7ACK容器平台集群安全控制最佳实践 目录 目录 文档版本信息 ........................................................................................................................................................ I 法律声明 ............................................................................................................................................................... II 前言 ..................................................................................................................................................................... III 最佳实践概述 ...................................................................................................................................................... IV 目录 ..................................................................................................................................................................... VI 前置条件 ............................................................................................................................................................... 7 1.前置条件 ............................................................................................................................................................ 8 1.1 创建阿里云 ACK标准专有集群.............................................................................................................. 8 1.2 设置阿里云 ACK API server的公网 SLB的访问控制策略 .................................................................... 28 1.3 SSH密钥对访问 Kubernetes集群.......................................................................................................... 31 2. Kubernetes集群 API Server认证与授权 ......................................................................................................... 32 2.1 Kubernetes API Server配置参数 ............................................................................................................ 32 2.2 Kubernetes的证书认证体系 ................................................................................................................. 34 2.2.1 API server CA信任链 ................................................................................................................... 34 2.3 Kubernetes的用户概念 ......................................................................................................................... 37 2.4 Kubernetes的 RBAC授权 ...................................................................................................................... 40 2.4.1 RBAC资源介绍............................................................................................................................ 40 2.4.2 Kubernetes集群子帐号 RBAC授权............................................................................................. 41 2.4.2.1 集群级别资源授权验证 .................................................................................................. 41 2.4.2.2 命名空间级别资源授权验证 ........................................................................................... 52 2.4.3 小结 ........................................................................................................................................... 54 3. Kubernetes集群的 Security Context ................................................................................................................ 55 3.1 Kubernetes集群 Security Context介绍 ................................................................................................. 55 3.2 Container-level Security Context示例 .................................................................................................... 55 3.3 Pod-level Security Context 示例............................................................................................................. 61 3.4 集群安全策略 PodSecurityPolicy(PSP)资源示例 .............................................................................. 63 4. Kubernetes集群敏感信息防护 ....................................................................................................................... 68 4.1 Kubernetes的 Secret概念 ..................................................................................................................... 68 4.2 限制 Pod可挂载的 Secret .................................................................................................................... 69 文档版本:20200217 VI
8ACK容器平台集群安全控制最佳实践 方案背景 前置条件 为了顺利完成本实践,您需要提前完成以下准备工作: ⚫ 注册阿里云账号,并完成实名认证。您可以登录阿里云控制台,并前往实名认证 页面(https://account.console.aliyun.com/v2/#/authc/home)查看是否已经完成 实名认证。 ⚫ 阿里云账户余额大于 100 元。您可以登录阿里云控制台,并前往账户总览页面 (https://expense.console.aliyun.com/#/account/home)查看账户余额。 文档版本:20200217 7