开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Kubernetes 云集群面临通过 Argo Workflows 实施的网络攻击

首先，我们需要了解 Kubernetes 和 Argo Workflows 的基本概念。

Kubernetes 是一个开源容器管理平台，它可以让开发人员轻松地部署、扩展和管理容器化应用程序。Kubernetes 提供了一种自动化部署、扩展和管理容器化应用程序的方法，同时也提供了一种自动恢复、负载均衡和安全策略的方法。

Argo Workflows 是一个开源工作流引擎，它可以让开发人员轻松地定义、运行和管理工作流。Argo Workflows 使用 Kubernetes 作为其基础架构，并提供了一种简单、灵活的方式来定义和运行工作流。

现在，我们来讨论 Kubernetes 云集群面临的网络攻击问题。

Kubernetes 集群是一个高度可扩展的系统，它可以扩展到数千个节点。由于集群的规模和复杂性，它们可能会成为网络攻击的目标。攻击者可能会利用 Kubernetes 集群的漏洞来窃取数据、破坏系统或者进行其他形式的攻击。

为了保护 Kubernetes 集群免受网络攻击，可以采取以下措施：

使用网络安全组（Network Security Groups）来限制集群中 Pod 的网络访问。
使用 Kubernetes 网络策略（Kubernetes Network Policies）来限制集群中 Pod 之间的网络流量。
使用 Kubernetes 的服务账户（Service Accounts）来限制 Pod 对集群资源的访问。
使用 Kubernetes 的 RBAC（Role-Based Access Control）来限制用户对集群资源的访问。
使用 Kubernetes 的审计日志（Audit Logs）来监控集群中的活动。
使用 Kubernetes 的 Webhook 来验证 Pod 的配置。
使用 Kubernetes 的加密（Encryption）来保护集群中的数据。

总之，保护 Kubernetes 集群免受网络攻击需要采取多种措施，包括使用网络安全组、网络策略、服务账户、RBAC、审计日志、Webhook 和加密等技术。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

美国国家安全局：K8s“傻瓜式”安全性强化教程

作者 | 王一鹏 8 月 3 日，美国国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 发布了一份网络安全技术报告“Kubernetes 强化指南”。该报告详细介绍了对 Kubernetes 环境的网络安全威胁，并提供了配置指南以最大限度地降低风险。该报告的发布或许与越来越严重的，针对 Kubernetes 的网络攻击有关。实际上，该报告最主要的受众群体并不是广大企业内开发者，而是以政府部门为主的重要机构。但这并不妨碍开发者以此作为参考，毕竟 Kubernetes 最近已经成为安全问题的

03

Metaflow｜Kubernetes上以人为中心的数据科学

今天，我们发布了对 Kubernetes 的一流（first-class）支持，作为Metaflow[1]对 AWS 原生服务集成的替代方案。数据科学家可以将计算扩展到 Kubernetes 集群[2]，并编排由 Argo Workflows 执行流程[3]。详情可参阅我们的Kubernetes 部署指南[4]。

01

Argo 全家桶如何让 DevOps 变的更容易？

原文：https://devops.com/the-argo-project-making-gitops-practical/

04

外包精通--Argo的工作流引擎（官网入门实践）

Argo Workflows 是一个开源容器原生工作流引擎，用于在 Kubernetes 上编排并行作业。Argo Workflows 作为 Kubernetes CRD（自定义资源定义）实现。

04

10 个关于 ArgoCD 的最佳实践

最佳实践：用户可以指定一个retryStrategy来指示如何在工作流中重试失败或错误的步骤。提供一个空的retryStrategy（即retryStrategy: {}）将导致容器重试直到完成并最终导致 OOM 问题。

02

利用KubeStellar驾驭多集群Argo工作流的力量

在这篇文章中，我们将探索一种新颖的方法，将 Argo 工作流分布到多个 Kubernetes 集群中。

01

为什么说可观察性是解锁 GitOps 的关键

GitOps 是一种新的软件开发范式，承诺简化和完全自动化软件部署过程。GitOps 不依赖 IT 人员或笨拙的脚本来配置环境，而是将所有环境定义成代码，并通过一致和可预测的方式一起部署环境和应用程序。所有的东西都放在源代码控制系统中，使用的是大多数开发人员都熟悉的工具。

04

Kubernetes GitOps 工具

在我看来，Kubernetes的优势主要在于它的声明式性质与控制循环相结合，并通过这些控制循环持续监控集群的活动状态，确保它与etcd中存储的期望状态保持一致。这种方式非常强大，但同时其数据库也被限制为etcd(etcd仅提供了有限的可观察性)，并影响到了集群变更时的责任性和审计性。另外一个缺点是将etcd和代码仓库作为两个SOT(sources of truth)，有可能会导致配置漂移，造成管理上的困难。

01

如何使用k3OS和Argo进行自动化边缘部署？

随着Kubernetes生态系统的发展，新的技术正在被开发出来，以实现更广泛的应用和用例。边缘计算的发展推动了对其中一些技术的需求，以实现将Kubernetes部署到网络边缘资源受限的基础设施上。在这篇文章中，我们将向你介绍一种将k3OS部署到边缘的方法。你可以使用这种方法将你的边缘机自动注册到Rancher实例中作为控制平面。我们还将讨论自动部署到物理机的一些好处。

03

Argo CD和Rollouts 2023年用户调查结果

Argo CD 和 Rollouts 用户调查提供了有关社区使用此开源GitOps 和渐进式交付引擎的经验和意见的丰富信息。根据不同用户的反馈，该调查揭示了哪些特性和功能最有价值以及可以进行改进和增强的领域。通过分析这些反馈，ArgoCD 和Rollouts团队可以更好地了解用户的需求，并努力确保未来的版本更加有用和用户友好。

05

使用argo构建云原生workflow

Argo Workflows是一个开源的容器本机工作流引擎，用于在Kubernetes上协调并行作业。Argo Workflows通过Kubernetes CRD（自定义资源定义）实现。

01

Sendible如何从Jenkins迁移到Argo

我叫 Tim Collins，是Sendible[1]的高级 DevOps 工程师。在 Sendible，我们正在着手一个计划，使我们的应用和开发堆栈更适合云原生，但我们很快发现我们现有的 CI 解决方案不能胜任这项工作。我们开始寻找替代方案，并认为记录我们的过程可能会帮助其他处于类似情况的人。

03

Argo CD 实践教程 03

我们将通过解释Argo CD是什么以及该平台所基于的底层技术来开始本章，以便我们可以设置基础。我们将解释Argo CD的核心概念，并且在深入了解它之前，我们将通过你需要知道的必要词汇。然后，我们将描述Argo CD的架构概述和GitOps方面的典型工作流。我们将详细描述每个核心组件及其职责，以便我们能够理解并排除潜在问题。最后，我们将在本地机器上的Kubernetes集群中安装Argo CD，并尝试使用它部署应用程序，并通过Argo CD观察GitOps阶段。在本章中，我们将介绍以下主要的主题：

03

Argo Workflows v3.0

自三年前成立[1]以来，Argo Workflows[2]取得了令人难以置信的成就，我们感到无比自豪！

01

使用 Argo Workflow 组织跨云运维的可能性

在微服务、容器化和 IaC 等概念普及之前，自动化通常是使用过程性操作进行的，例如摘流——升级——恢复的过程。为了运维方便，通常这些操作序列会由所谓的运维流程编排工具完成，例如 AWS 的 SSM Automation，或者阿里云的 OOS 等。随着运维自动化的要求逐步提高，这些工具的编排能力也逐步扩展，出现了插件扩展、循环、跳转等更复杂的行为，甚至还出现了人工审批等蜜汁操作。自动化的编排复杂度也不断延伸——AWS 公开的作业脚本中已经出现了超过 3000 行 50 个步骤的庞然大物。

01

k8s原生工作流引擎Argo——快速开始

要查看Argo的工作原理，您可以安装它并运行简单工作流程和使用工件的工作流程的示例。

01

Argo Workflows 中文快速指南·

Argo Workflows 是一个云原生的通用的工作流引擎。本教程主要介绍如何用其完成持续集成（Continous Integration, CI）任务。

02

Argo Workflows-Kubernetes的工作流引擎

Argo Workflows是一个开源项目，为Kubernetes提供container-native工作流程，其主要通过Kubernetes CRD实现的。

02

重磅发布｜腾讯云容器安全服务网络隔离功能已上线

背景随着容器、微服务、持续交付等云原生技术普及，大量应用基于K8s容器编排构建。相比传统网络模式，在云原生场景下，存在大量微服务模块间网络调用，集群内东西向通信流量激增，网络边界变得更加模糊。容器环境中，容器IP和端口变换频繁，应用混合部署带来的通信关系复杂，传统基于静态IP和端口的边界安全规则已无法适用容器环境下细粒度的访问控制要求。默认情况下，K8s集群中不对Pod进行任何请求限制，任意Pod之间可以自由通信。正因此，在面对网络攻击时，没有安全规则的容器网络将给攻击者更多的自由和渗透空间。如何实施

02

CNCF 宣布 Argo 正式毕业

作者 | 褚杏娟当地时间 12 月 6 日， CNCF（云原生计算基金会）宣布 Argo 正式毕业，Argo 将与 Kubernetes、Prometheus 和 Envoy 等并列到 CNCF 毕业项目行列。 Argo 项目是一组 Kubernetes 原生工具集合，由 Argo Workflows、Argo Events、Argo CD 和 Argo Rollouts 四个 Kubernetes 原生子项目组成，用于运行和管理 Kubernetes 上的作业和应用程序。其中，Argo Work

03

云原生2021展望

根据云原生产业联盟的 2020 年调查数据显示，Kubernetes 在受访人群的采纳率高达 63%，17% 用户选择 Docker Swarm。

07

2022 年 Kubernetes 高危漏洞盘点

2022 年，Kubernetes继续巩固自己作为关键基础设施领域的地位。从小型到大型组织，它已成为广受欢迎的选择。出于显而易见的原因，这种转变使 Kubernetes 更容易受到攻击。但这还没有结束，开发人员通常将Kubernetes 部署与其他云原生组件一起使用来构建一个完善的工作系统。不幸的是，这种组合会导致具有更多组件的更复杂的基础架构。这最终会增加易受攻击的表面积和范围。

01

Argo 的通知功能

通知是完整的最终用户体验的重要组成部分，但却很难正确处理。不同的组织使用不同类型的通知服务，如 Slack、OpsGenie 或传统的电子邮件。可能需要通知的事件有几十种不同类型，因此很难预测所有可能的场景并对它们进行优化。最后，每个组织都有不同的标准，可能希望以不同的方式定制通知。

02

2021年Argo Workflows调查结果

2021年Argo Workflows调查持续了三周。共有60份回复。最终的NPS得分高达66分。

03

为什么数据科学家不需要了解 Kubernetes

最近，关于数据科学家的工作应该包含哪些，有许多激烈的讨论。许多公司都希望数据科学家是全栈的，其中包括了解比较底层的基础设施工具，如 Kubernetes（K8s）和资源管理。本文旨在说明，虽然数据科学家具备全栈知识有好处，但如果他们有一个良好的基础设施抽象工具可以使用，那么即使他们不了解 K8s，依然可以专注于实际的数据科学工作，而不是编写有效的 YAML 文件。

02

K8S 生态周报| Argo Workflows 新版本发布，带来众多新特性

本周 Trivy 相继发布了 v0.24.3 和 v0.24.4 版本。最需要关注的变更是如下两个：

03

程序员离职后为泄私愤远程锁公司服务器硬盘；前程无忧宣传语嘲讽“996”职场人；Twitter 开源工作停摆｜ Q资讯

整理｜ Tina B 站启动系统性降本增效行动，拟节省 20 亿成本；前程无忧回应宣传语嘲讽职场人；阿里巴巴向 Lazada 再次注资 3.425 亿美元，今年总注资达 16 亿美元；亚马逊、甲骨文和微软获五角大楼 90 亿美元云合同；“硬核”但工资高，Twitter 预招 20 个岗位吸引数百人申请；嫌 Neuralink 员工做事慢，马斯克：我恨不得在你们脑袋上绑炸弹；不限层级、不限部门，亚马逊裁员将达 2 万人；ChatGPT 用户量 5 天破百万，破圈影响力惊人；程序员离职后为泄私愤远程锁公司

02

CI/CD 改进方案设计

在面对不同环境（例如虚拟机、容器、集群）时，选择适合的 CI/CD 工作流程是至关重要的。以下是针对不同环境的一些常见的 CI/CD 工作流程选择：

01

云原生下的CI/CD：Argo CD 详解，手把手教你入门

1.Argo CD 能解决什么问题 1.1 从 GitOps 说起 GitOps 起源于 Weaveworks 公司在 2017 年发表的一篇博客， GitOps - Operations by Pull Request 。在文中，Alexis 介绍了一种以 Git 为唯一事实来源的部署方式。在 GitOps 实践中，我们需要将软件设施定义在 Git 仓库中进行管理。其中的软件设施，包括 IaaS、Kubernetes 这样的基础设施，也包括应用本身。每个人都可以通过提交 Pull Request 来修

04

在 Kubernetes 上使用 Argo 实现 CI/CD

持续集成和持续交付是一些人努力的目标。它让一切事物变得更简单。市面上有许多 CI/CD 工具，但是随着 Kubernetes 的日渐盛行，所有这些工具都需要做相应的调整。比如说Jenkins，这款非常成熟的 CI/CD 工具在全球范围内被广泛使用，但是这款工具缺乏创新并且感觉有点笨重。同样的话也适用于 Spinnaker。一款出色的企业解决方案拥有让工作深入开展下去的资源，但是让 CI/CD 工具以一种快速、整洁的方式升级不是一个理想的选择。还有其他的一些工具可以为更简单的工作流提供更多的支持。其中一个就是我们本文中将要介绍的 Argo。

02

K8S 生态周报| Podman 开始废弃 CNI plugins, 推进自己的网络堆栈

BuildKit 我以前有很多篇文章中都有介绍过了。它是 Docker 的下一代构建引擎，目前在 Docker Desktop 中已经默认启用，在 Docker 的下一个版本 v23.0 中也会默认启用，对 Docker 中构建引擎感兴趣的小伙伴可以查看我之前的《万字长文：彻底搞懂容器镜像构建 | MoeLove》。

01

“中国会员电商第一股”云集的反爬虫攻防战 | 产业安全专家谈

云集成立于2015年，是一家由社交驱动的精品会员电商，被誉为“中国会员电商第一股”，数据资源积累量十分庞大。在数据的维护管理方面，过去云集主要采用自建IDC方式部署，迁移到公有云后，服务器和人工维护的成本大幅降低，最“疯狂”的时候，一个运维人员可以直接管理一两千台的云主机，这在过去是难以想象的画面。

01

Kubernetes 的 CI/CD 管道概述

An Overview of CI/CD Pipelines With Kubernetes

02

大妈都能看懂的 GitOps 入门指南

GitOps 这个概念最早是由 Kubernetes 管理公司 Weaveworks 公司在 2017 年提出的，如今已经过去了 5 个年头，想必大家对这个概念早有耳闻，但你可能并不知道它到底是什么，它和 DevOps 到底是啥关系，本文就来帮大家一一解惑。

01

Kubernetes的Top 4攻击链及其破解方法

尽管Kubernetes的采用率持续飙升，但它已成为网络攻击的主要目标。不幸的是，Kubernetes集群很复杂，难以保护。确保您的Kubernetes环境安全需要对威胁基础设施的常见攻击链有深入的理解。

01

Kubernetes大二层网络：挑战与解决方案探索

在云原生领域，Kubernetes (K8s) 已经成为容器编排领域的事实标准☁️📦。随着其在企业中的广泛应用，对于网络的需求也日益增长，尤其是在大二层网络的构建上。大二层网络设计旨在提供跨多个节点的容器间的无缝通信，但这种设计并非没有挑战。本文将深入探讨K8s大二层网络面临的主要问题和挑战，并讨论可能的解决方案。

01

API NEWS | 三个Argo CD API漏洞

欢迎大家围观小阑精心整理的API安全最新资讯，在这里你能看到最专业、最前沿的API安全技术和产业资讯，我们提供关于全球API安全资讯与信息安全深度观察。

03

当下最热门的 GitOps，你了解吗？

GitOps 的概念最初来源于 Weaveworks 的联合创始人 Alexis 在 2017 年 8 月发表的一篇博客 GitOps - Operations by Pull Request。文章介绍了 Weaveworks 的工程师如何以 Git 作为事实的唯一真实来源，部署、管理和监控基于 Kubernetes 的 SaaS 应用。

02

Kubernetes 最佳实践：综合指南

翻译自 Kubernetes Best Practices: A Comprehensive Guide 。

01

容器平台与最佳实践参考

这是一张三年前总结的示意图，描绘了一个Kubernetes集群环境中的各种组件和它们之间的关系。图中从左到右展示了一个从基础资源角度到应用程序发管理角度的脑图。解释图中的主要组成部分：

01

为什么云原生应用需要云原生勒索软件保护

随着网络攻击者变得更有组织性、更有能力并利用新的切入点，威胁也在升级。如果认为勒索软件威胁将针对备份本身，企业有一些重要的选择来决定如何可靠地保护他们的数据和用户数据以实现业务连续性和法规遵从性。

01

Kubernetes 原生 CI/CD 构建框架 Argo 详解！

流水线（Pipeline）是把一个重复的过程分解为若干个子过程，使每个子过程与其他子过程并行进行的技术。本文主要介绍了诞生于云原生时代的流水线框架 Argo。

01

云原生安全DevSecOps思考

近年来，云原生技术应用日益广泛，而容器编排平台Kubernetes（k8s）的出现，使得我们的服务具备了前所未有的灵活性和扩展性。然而，这同时也带来了诸多云原生安全问题。近期曝出的Runc CVE-2024-21626 缺陷，造成了容器逃逸的问题，引发了很大的关注。这个问题出现的原因，是在runc 1.1.11及之前的版本中，因文件描述符泄露，容器进程在宿主文件系统中拥有了工作目录权限，从而容易被攻击者利用，实现容器逃逸。得益于这个问题，我们重新认识到了不论是身份和权限控制、网络攻击等方面的问题，都对我们的服务和数据安全构成了威胁。本文的目的是深入探讨云原生环境下的安全脆弱性，并介绍配套的工具和方法，帮助企业在步入云原生大门时关好每扇安全窗。

01

Kubernetes中的Service类型，与Pod的通信方式和挑战

在Kubernetes中，Service是用于抽象和提供对Pod集合的访问的一种资源对象。

07

网络安全迈入“云威胁”时代，云安全将成为企业刚需配置

这一年，勒索病毒、数据泄露、网络渗透，大量黑客利用技术手段对企业敏感数据实施攻击与破坏，导致安全事件频频发生。

02

面向 DevOps 的 Kubernetes 最佳安全实践

Hello folks，我是 Luga，今天我们来分享一下与云原生安全相关的话题，即面向“DevOps”的 Kubernetes 最佳安全实践。

为什么要使用 Kubernetes？聚焦API，而非服务器

在这篇博客中，我将讨论如何通过专注于 Kubernetes 的 API 来释放其潜力，同时尽量避免可能遇到的复杂性。了解如何以及是否可以让 Kubernetes 为您发挥作用。

01

为什么Kubernetes安全挑战需要零信任策略

零信任是一种网络安全新范式，被一些世界上最大和技术先进的组织所采用，包括谷歌、微软。该技术几乎适用于所有技术平台和基础架构，Kubernetes 也不例外。

02

平台工程工具链的 7 个出色工具

平台工程，即为软件开发构建和管理内部开发者平台的做法，正在迅速流行起来。它的承诺是什么？无缝集成并优化传统的开发和 DevOps 方法，解决其关键差距。

01

每周云安全资讯-2023年第21周

1 新的Linux 内核漏洞为攻击者提供了 root 权限本文介绍了一个新的Linux NetFilter 内核漏洞，该漏洞允许无特权的本地用户将特权提升到root级别。 https://cloudsec.tencent.com/article/3HpkG6 2 严重的 RCE 漏洞导致数以千计的工业物联网设备遭受网络攻击研究人员发现，即使平台没有主动配置云管理，三个工业蜂窝路由器供应商的云管理平台中的漏洞也会使网络面临远程代码执行的风险。 https://cloudsec.tencent.com/ar

04

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭