原文链接:这些用来审计 Kubernetes RBAC 策略的方法你都见过吗? 认证与授权对任何安全系统来说都至关重要,Kubernetes 也不例外.即使我们不是安全工作人员,也需要了解我们的 Kubernetes 集群是否具有足够的访问控制权限.Kubernetes 社区也越来越关注容器的安全评估(包括渗透测试,配置审计,模拟攻击),如果你是应用安全工程师,或者是安全感知的 DevOps 工程师,最好了解一下 Kubernetes 的授权模型. Kubernetes 的授权控制原则与大多数系…

背景 今天通过配置创建了一个serviceaccounts和secret,后面由于某种原因想再次创建发现已存在一个serviceaccounts和rolebindings.rbac.authorization.k8s.io,如下: [root@master mysql-operator-master]# cat <<EOF | kubectl create -f - > apiVersion: v1 > kind: ServiceAccount > metadata: >…

Kubernetes中提供了良好的多租户认证管理机制,如RBAC.ServiceAccount还有各种Policy等.   ServiceAccount Service Account为Pod中的进程提供身份信息. 当用户访问集群(例如使用kubectl命令)时,apiserver 会将用户认证为一个特定的 User Account(目前通常是admin,除非系统管理员自定义了集群配置).Pod 容器中的进程也可以与 apiserver 联系. 当它们在联系 apiserver 的时候,它们会被…

Service Account概念的引入是基于这样的使用场景: 运行在pod里的进程需要调用Kubernetes API以及非Kubernetes API的其它服务.Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证.这样pod里的容器就可以访问api了. kubectl get sa --all-namespaces NAMESPACE NAME SECRETS AGE 1d 32d 31d kube- 32…

前言 在应用程序开发的过程中,有的时候需要在代码中保存一些机密的信息,比如加密密钥,字符串,或者是用户名密码等.通常的做法是保存到一个配置文件中,在以前我们会把他保存到web.config中,但是在ASP.NET Core中,这一方式或许发生了改变,或者说你有更多多元化的方法, 以及更加优雅的的配置来设置或者保存这些机密资料. 起初我以为这个UserSecrets它并没有什么用,因为我有需要配置的地方我直接配置到appsetting.json文件中就可以了,直到一次开发过程中,我才感受到了它真正…

https://www.youtube.com/watch?v=qHm9MG9xw1o I need another storySomething to get off my chestMy life gets kinda boringNeed something that I can confess 我需要另一段故事 讓我卸下心上大石 我的生活很是無趣 需要可以信仰的事 'Til all my sleeves are stained redFrom all the truth that I'v…

My sister installed AirSig last week. She is so exciting about this new techknology and she won't stop writing strange words in the air. She want me to take a guess about what she wrote in the air...Of course I could not know what she wrote. Even I w…

最近,在阅读 jQuery 之父 John Resig 力作:Secrets of the JavaScript Ninja(JavaScript忍者秘籍).关于第九章提及的 JavaScript 之运行时代码,感觉蛮不错.因此,顺便在博客园记录一下. 有关运行时.编译时就不再做过多介绍,相信,大部分同学或多或少熟悉一门强类型语言,比如:C#.Java 之类.就以 C# 为例,程序员编写的 .cs 文件最终将编译成 .dll 程序集中,如果 .cs 中有语法错误,将无法编译通过.而像 JavaS…

Chamber of Secrets 题目连接: http://codeforces.com/problemset/problem/173/B Description "The Chamber of Secrets has been opened again" - this news has spread all around Hogwarts and some of the students have been petrified due to seeing the basilisk…

前言 在开发中经常会用到一些敏感数据,比如AppSecret或数据库连接字符串,无论是硬编码还是写在配置文件中,最终都要push到svn或git上.对于开源项目,这些敏感数据就无隐私可言了,对于私有项目,一旦源代码管理服务器被黑,这些敏感数据也将暴露无遗.所以,最佳实践就是不要将敏感数据写到源代码中. 以往我们常常将数据库连接字符串写在web.config中,.NET Core中写在appsettings.json中,开发环境下如果一个开发者修改了连接字符串,为了不影响其他开发者,每次提交代码的…