Kubernetes安全和可观测性
Kubernetes安全和可观测性
Brendan Creane, Amit Gupta
范彬, 张保珠 译
出版时间:2025年02月
页数:191
“对于任何关心Kubernetes集群或工作负载安全的人来说,这本书都是必读的!书中的概念广泛适用所有行业、所有垂直产业和所有规模的公司。”
——Seth Vargo
谷歌高级工程师

Kubernetes 容器化工作负载的安全性、可观测性和故障排查是一项复杂的任务,涉及多方面因素的综合考量,包括基础设施选择、集群配置、部署管理,以及运行时和网络安全等。本书将帮助你掌握整体性的安全和可观测性策略,构建并保护运行在 Kubernetes 上的云原生应用。展开全部内容介绍
  1. 前言
  2. 第1章 安全和可观测性战略
  3. 1.1 Kubernetes安全:一个全新不同的世界
  4. 1.2 Kubernetes部署工作负载的各个阶段的安全措施
  5. 1.2.1 构建安全:安全左移
  6. 1.2.2 部署安全
  7. 1.2.3 运行时安全
  8. 1.2.4 可观测性
  9. 1.2.5 安全框架
  10. 1.3 安全和可观测性
  11. 1.4 总结
  12. 第2章 基础设施安全
  13. 2.1 主机加固
  14. 2.1.1 操作系统的选择
  15. 2.1.2 清除不必要的进程
  16. 2.1.3 主机的防火墙
  17. 2.1.4 保持对最新最佳实践的研究
  18. 2.2 集群加固
  19. 2.2.1 Kubernetes数据存储安全
  20. 2.2.2 Kubernetes API服务器安全
  21. 2.2.3 对Kubernetes Secret进行落盘加密
  22. 2.2.4 频繁更换证书
  23. 2.2.5 认证和RBAC
  24. 2.2.6 云服务商元数据API的访问限制
  25. 2.2.7 开启审计
  26. 2.2.8 alpha或beta功能的访问限制
  27. 2.2.9 经常升级Kubernetes
  28. 2.3 使用托管Kubernetes服务
  29. 2.3.1 CIS基准
  30. 2.3.2 网络安全
  31. 2.4 总结
  32. 第3章 工作负载部署安全
  33. 3.1 镜像构建和镜像扫描
  34. 3.1.1 基础镜像的选择
  35. 3.1.2 容器镜像加固
  36. 3.1.3 容器镜像扫描方案
  37. 3.1.4 隐私关注
  38. 3.1.5 容器威胁分析
  39. 3.2 CI/CD
  40. 3.2.1 通过镜像仓库扫描服务扫描镜像
  41. 3.2.2 构建后扫描镜像
  42. 3.2.3 内嵌镜像扫描
  43. 3.2.4 Kubernetes准入控制器
  44. 3.2.5 CI/CD流水线安全
  45. 3.3 组织策略
  46. 3.3.1 密钥管理
  47. 3.3.2 使用etcd存储密钥
  48. 3.3.3 密钥管理服务
  49. 3.3.4 Kubernetes密钥存储的CSI驱动程序
  50. 3.3.5 密钥管理的最佳实践
  51. 3.4 认证
  52. 3.4.1 X509客户证书
  53. 3.4.2 Bearer令牌
  54. 3.4.3 OIDC令牌
  55. 3.4.4 认证代理程序
  56. 3.4.5 匿名请求
  57. 3.4.6 用户冒名顶替
  58. 3.5 授权
  59. 3.5.1 节点授权
  60. 3.5.2 ABAC
  61. 3.5.3 AlwaysDeny/AlwaysAllow
  62. 3.5.4 RBAC
  63. 3.5.5 命名空间的RBAC
  64. 3.5.6 缓解特权越级
  65. 3.6 总结
  66. 第4章 工作负载运行时安全
  67. 4.1 PSP
  68. 4.1.1 如何使用PSP
  69. 4.1.2 使用PSP定义Linux Capabilities
  70. 4.1.3 Pod Security Context
  71. 4.1.4 PSP的局限性
  72. 4.1.5 容器进程监控
  73. 4.1.6 Kubernetes原生监控
  74. 4.1.7 Seccomp
  75. 4.1.8 SELinux
  76. 4.1.9 AppArmor
  77. 4.1.10 Sysctl
  78. 4.2 总结
  79. 第5章 可观测性
  80. 5.1 监控
  81. 5.2 可观测性概述
  82. 5.2.1 Kubernetes可观测性
  83. 5.2.2 Kubernetes可观测性的实现
  84. 5.2.3 Linux内核工具
  85. 5.3 可观测性组件
  86. 5.4 聚合与关联
  87. 5.5 可视化
  88. 5.5.1 服务视图
  89. 5.5.2 网络流量的可视化
  90. 5.6 分析和故障排除
  91. 5.6.1 分布式追踪
  92. 5.6.2 抓包
  93. 5.7 总结
  94. 第6章 可观测性和安全
  95. 6.1 告警
  96. 6.1.1 机器学习
  97. 6.1.2 一些机器学习作业的示例
  98. 6.2 安全运营中心
  99. 6.3 用户和实体行为分析(UEBA)
  100. 6.4 总结
  101. 第7章 网络策略
  102. 7.1 什么是网络策略
  103. 7.2 为什么网络策略很重要
  104. 7.3 网络策略的实现
  105. 7.4 网络策略最佳实践
  106. 7.4.1 入口与出口(Ingress与Egress)
  107. 7.4.2 不要仅关注关键的工作负载
  108. 7.4.3 策略和标签模式
  109. 7.4.4 默认拒绝和默认应用策略
  110. 7.5 策略工具
  111. 7.5.1 开发流程和微服务(实施网络安全)的好处
  112. 7.5.2 策略建议
  113. 7.5.3 策略影响预览
  114. 7.5.4 策略预发布和审计模式
  115. 7.6 总结
  116. 第8章 跨团队管理信任
  117. 8.1 基于角色的访问控制
  118. 8.1.1 Kubernetes网络策略的局限性
  119. 8.1.2 更丰富的网络策略实现
  120. 8.1.3 准入控制器
  121. 8.2 总结
  122. 第9章 暴露服务给外部客户
  123. 9.1 理解Pod直连
  124. 9.2 理解Kubernetes service
  125. 9.2.1 Cluster IP类型service
  126. 9.2.2 节点端口(Node Port)类型Service
  127. 9.2.3 Load Balancer类型Service
  128. 9.2.4 externalTrafficPolicy:local
  129. 9.2.5 扩展网络策略
  130. 9.2.6 Kube-proxy的替代产品
  131. 9.2.7 服务直接返回(DSR)
  132. 9.2.8 限制Service的externalIP
  133. 9.2.9 广播Service IP
  134. 9.2.10 理解Kubernetes Ingress
  135. 9.3 总结
  136. 第10章 数据传输加密
  137. 10.1 代码中构建加密
  138. 10.2 Sidecar或服务网格加密
  139. 10.3 网络层加密
  140. 10.4 总结
  141. 第11章 威胁防御和入侵检测
  142. 11.1 Kubernetes的威胁防御(攻击的各个阶段)
  143. 11.2 入侵检测
  144. 11.2.1 入侵检测系统
  145. 11.2.2 IP地址和域名的威胁源
  146. 11.2.3 域名信息的特殊考虑
  147. 11.3 先进的威胁防御技术
  148. 11.3.1 金丝雀Pod或资源
  149. 11.3.2 基于DNS的攻击和防御
  150. 11.4 总结
  151. 后记
购买选项
定价:78.00元
书号:978-7-5198-9187-9
出版社:中国电力出版社
联系出版社邮购

© 2025,奥莱利技术咨询(北京)有限公司。版权所有。
传真: +86-10-88097463
 京ICP备05003502号