Kubernetes安全和可观测性
Kubernetes安全和可观测性
Brendan Creane, Amit Gupta
范彬, 张保珠 译
出版时间:2024年12月(预计)
页数:191(预计)
“对于任何关心Kubernetes集群或工作负载安全的人来说,这本书都是必读的!书中的概念广泛适用所有行业、所有垂直产业和所有规模的公司。”
——Seth Vargo
谷歌高级工程师

Kubernetes 容器化工作负载的安全性、可观测性和故障排查是一项复杂的任务,涉及多方面因素的综合考量,包括基础设施选择、集群配置、部署管理,以及运行时和网络安全等。本书将帮助你掌握整体性的安全和可观测性策略,构建并保护运行在 Kubernetes 上的云原生应用。
无论你已在开发云原生应用,还是正在向云原生架构迁移,本书都将引导你深入理解关键的安全与可观测性概念和最佳实践,充分释放云原生应用的潜力。作者 Brendan Creane 和 Amit Gupta 来自 Tigera,他们将全面讲解适用于 Kubernetes 上应用的云原生安全与可观测性新方法。
本书包括如下内容:
● 为什么云原生应用需要安全和可观测性战略、以及覆盖的范围。
● 安全和可观测性方法背后的关键概念。
● 安全和可观测性战略的技术选择。
● 如何在多个团队或角色之间分担安全责任。
● 如何为多云和混合环境构建Kubernetes安全和可观测性
  1. 前言
  2. 第1章 安全和可观测性战略
  3. 1.1 Kubernetes安全:一个全新不同的世界
  4. 1.2 Kubernetes部署工作负载的各个阶段的安全措施
  5. 1.2.1 构建安全:安全左移
  6. 1.2.2 部署安全
  7. 1.2.3 运行时安全
  8. 1.2.4 可观测性
  9. 1.2.5 安全框架
  10. 1.3 安全和可观测性
  11. 1.4 总结
  12. 第2章 基础设施安全
  13. 2.1 主机加固
  14. 2.1.1 操作系统的选择
  15. 2.1.2 清除不必要的进程
  16. 2.1.3 主机的防火墙
  17. 2.1.4 保持对最新最佳实践的研究
  18. 2.2 集群加固
  19. 2.2.1 Kubernetes数据存储安全
  20. 2.2.2 Kubernetes API服务器安全
  21. 2.2.3 对Kubernetes Secret进行落盘加密
  22. 2.2.4 频繁更换证书
  23. 2.2.5 认证和RBAC
  24. 2.2.6 云服务商元数据API的访问限制
  25. 2.2.7 开启审计
  26. 2.2.8 alpha或beta功能的访问限制
  27. 2.2.9 经常升级Kubernetes
  28. 2.3 使用托管Kubernetes服务
  29. 2.3.1 CIS基准
  30. 2.3.2 网络安全
  31. 2.4 总结
  32. 第3章 工作负载部署安全
  33. 3.1 镜像构建和镜像扫描
  34. 3.1.1 基础镜像的选择
  35. 3.1.2 容器镜像加固
  36. 3.1.3 容器镜像扫描方案
  37. 3.1.4 隐私关注
  38. 3.1.5 容器威胁分析
  39. 3.2 CI/CD
  40. 3.2.1 通过镜像仓库扫描服务扫描镜像
  41. 3.2.2 构建后扫描镜像
  42. 3.2.3 内嵌镜像扫描
  43. 3.2.4 Kubernetes准入控制器
  44. 3.2.5 CI/CD流水线安全
  45. 3.3 组织策略
  46. 3.3.1 密钥管理
  47. 3.3.2 使用etcd存储密钥
  48. 3.3.3 密钥管理服务
  49. 3.3.4 Kubernetes密钥存储的CSI驱动程序
  50. 3.3.5 密钥管理的最佳实践
  51. 3.4 认证
  52. 3.4.1 X509客户证书
  53. 3.4.2 Bearer令牌
  54. 3.4.3 OIDC令牌
  55. 3.4.4 认证代理程序
  56. 3.4.5 匿名请求
  57. 3.4.6 用户冒名顶替
  58. 3.5 授权
  59. 3.5.1 节点授权
  60. 3.5.2 ABAC
  61. 3.5.3 AlwaysDeny/AlwaysAllow
  62. 3.5.4 RBAC
  63. 3.5.5 命名空间的RBAC
  64. 3.5.6 缓解特权越级
  65. 3.6 总结
  66. 第4章 工作负载运行时安全
  67. 4.1 PSP
  68. 4.1.1 如何使用PSP
  69. 4.1.2 使用PSP定义Linux Capabilities
  70. 4.1.3 Pod Security Context
  71. 4.1.4 PSP的局限性
  72. 4.1.5 容器进程监控
  73. 4.1.6 Kubernetes原生监控
  74. 4.1.7 Seccomp
  75. 4.1.8 SELinux
  76. 4.1.9 AppArmor
  77. 4.1.10 Sysctl
  78. 4.2 总结
  79. 第5章 可观测性
  80. 5.1 监控
  81. 5.2 可观测性概述
  82. 5.2.1 Kubernetes可观测性
  83. 5.2.2 Kubernetes可观测性的实现
  84. 5.2.3 Linux内核工具
  85. 5.3 可观测性组件
  86. 5.4 聚合与关联
  87. 5.5 可视化
  88. 5.5.1 服务视图
  89. 5.5.2 网络流量的可视化
  90. 5.6 分析和故障排除
  91. 5.6.1 分布式追踪
  92. 5.6.2 抓包
  93. 5.7 总结
  94. 第6章 可观测性和安全
  95. 6.1 告警
  96. 6.1.1 机器学习
  97. 6.1.2 一些机器学习作业的示例
  98. 6.2 安全运营中心
  99. 6.3 用户和实体行为分析(UEBA)
  100. 6.4 总结
  101. 第7章 网络策略
  102. 7.1 什么是网络策略
  103. 7.2 为什么网络策略很重要
  104. 7.3 网络策略的实现
  105. 7.4 网络策略最佳实践
  106. 7.4.1 入口与出口(Ingress与Egress)
  107. 7.4.2 不要仅关注关键的工作负载
  108. 7.4.3 策略和标签模式
  109. 7.4.4 默认拒绝和默认应用策略
  110. 7.5 策略工具
  111. 7.5.1 开发流程和微服务(实施网络安全)的好处
  112. 7.5.2 策略建议
  113. 7.5.3 策略影响预览
  114. 7.5.4 策略预发布和审计模式
  115. 7.6 总结
  116. 第8章 跨团队管理信任
  117. 8.1 基于角色的访问控制
  118. 8.1.1 Kubernetes网络策略的局限性
  119. 8.1.2 更丰富的网络策略实现
  120. 8.1.3 准入控制器
  121. 8.2 总结
  122. 第9章 暴露服务给外部客户
  123. 9.1 理解Pod直连
  124. 9.2 理解Kubernetes service
  125. 9.2.1 Cluster IP类型service
  126. 9.2.2 节点端口(Node Port)类型Service
  127. 9.2.3 Load Balancer类型Service
  128. 9.2.4 externalTrafficPolicy:local
  129. 9.2.5 扩展网络策略
  130. 9.2.6 Kube-proxy的替代产品
  131. 9.2.7 服务直接返回(DSR)
  132. 9.2.8 限制Service的externalIP
  133. 9.2.9 广播Service IP
  134. 9.2.10 理解Kubernetes Ingress
  135. 9.3 总结
  136. 第10章 数据传输加密
  137. 10.1 代码中构建加密
  138. 10.2 Sidecar或服务网格加密
  139. 10.3 网络层加密
  140. 10.4 总结
  141. 第11章 威胁防御和入侵检测
  142. 11.1 Kubernetes的威胁防御(攻击的各个阶段)
  143. 11.2 入侵检测
  144. 11.2.1 入侵检测系统
  145. 11.2.2 IP地址和域名的威胁源
  146. 11.2.3 域名信息的特殊考虑
  147. 11.3 先进的威胁防御技术
  148. 11.3.1 金丝雀Pod或资源
  149. 11.3.2 基于DNS的攻击和防御
  150. 11.4 总结
  151. 后记
书名:Kubernetes安全和可观测性
译者:范彬, 张保珠 译
国内出版社:中国电力出版社
出版时间:2024年12月(预计)
页数:191(预计)
书号:978-7-5198-9187-9
原版书书名:Kubernetes Security and Observability
原版书出版商:O'Reilly Media
Brendan Creane
 
Brendan Creane是Tigera工程主管。他有数十年构建企业安全、可观测性和网络产品的经验。
 
 
Amit Gupta
 
Amit Gupta是Tigera产品管理和业务发展副总裁。Amit是一位实践型的产品经理,擅长构建不同领域的软件产品和服务,包括云安全、云原生应用、公有云和私有云基础设施。
 
 
本书封面上的动物是一只非洲鱼鹰(学名:Haliaeetus vocifer),这是一种在整个撒哈拉以南的非洲地区发现的大型鹰种。它的学名意思是“发声的海鹰”。
雌性非洲鱼鹰约为7磅,翼展近8英尺。雄性则略小,4.5~5.5磅,翼展6.5英尺。这种性别差异在猛禽中很典型。成年鸟的身体多为棕色,头部、胸部和尾部为白色。翅膀是黑色。
在它们的活动范围内,海鹰多发现在淡水湖泊、沼泽地和河流附近。海鹰的脚趾上有螺旋状的结构,这些结构使海鹰能够抓住鱼和其他滑溜的猎物,如水鸟。它可以把比自己大很多倍的猎物带走,方法是把猎物拖过水面,或者掉进水里,用翅膀划到岸上。
非洲海鹰是纳米比亚和赞比亚的国鸟。它出现在几个非洲国家的国徽和旗帜上。它的保护很少被关注。
购买选项
定价:78.00元(预计)
书号:978-7-5198-9187-9
出版社:中国电力出版社
联系出版社邮购

© 2024,奥莱利技术咨询(北京)有限公司。版权所有。
传真: +86-10-88097463
 京ICP备05003502号