K8s集群上的定期系统安全补丁?
我们正试图找到一种方法,定期为我们的K8s集群提供系统安全补丁,以确保我们的系统安全并满足安全要求。
我们的K8s集群运行在不同的云,AWS,Azure,裸金属等。
对于云,我们可以将IAM映像更改为最新的,替换旧的映像,启动新的节点,并排出旧的节点。对于裸金属节点,我们需要排出旧节点,然后修补,并将它们添加回。
不确定是否有其他方法自动做到这一点。我们不想每个月都在云端做这项工作。也许有更好的解决方案?
回答 1
Server Fault用户
发布于 2020-09-04 01:15:30
由HashiCorp包装是一个免费的工具,自动生成机器图像。
Packer可以为不同的云构建机器映像,包括AWS、Azure和像VMware这样的自托管虚拟化平台。
使用Packer,您可以使用已发布的参考机器(例如,Amazon发布的AMI),在将补丁映像发布回云平台之前,自动安装补丁、更新和任何自定义配置,以便随时使用。
Packer还可以用于将标准配置管理工具种子到云映像中。例如,执行ansible或傀儡运行,和/或烘焙必要的配置,以便在实例启动时运行这些配置。
Terraform (免费)也是由HashiCorp提供的,它允许您自动化计算机平台的配置,例如AWS/Azure/VMware,允许您自动更新配置。
如果希望部署或更新运行中的Kubernetes集群中的节点使用的AMI,可以使用Terraform创建指向新Packer构建映像的新启动配置。
一种可能减少工作量的方法是修改实例组的引导脚本(云init/用户数据),在引导时运行类似于“yum更新”之类的内容。通过这种方式,您可以使用预先生成的映像,只需将AMI ID更新为最新版本,每次发布时都是如此。这很可能是使用Terraform来完成的。
https://serverfault.com/questions/1031499
复制相似问题
腾讯云开发者
