Kubernetes 安全原理与实践--掘金小册课程推荐/优惠

作者介绍

张晋涛，云原生技术专家，Microsoft MVP（微软最有价值专家）。主要在做 Kubernetes, Docker，Ingress 等云原生开源项目。

Apache APISIX PMC，Kubernetes Ingress-nginx Maintainer，Containerd/Docker/Helm/Kubernetes/KIND 等众多开源项目 Contributor，“K8S 生态周报”的维护者。

从业 7 年，对 Docker 和 Kubernetes 等容器化技术有大量实践和深入源码的研究，业内多个知名大会讲师，PyCon China 核心组织者之一，写有《Kubernetes 上手实践》和 《Docker 核心知识必知必会》等课程。

公众号：MoeLove

小册介绍

构建在容器化和 Kubernetes 等技术之上的云原生应用是跨行业进行数字化转型的核心。随着容器和 Kubernetes 在生产环境中的大规模应用，面临的挑战也越来越多，其中以安全问题最为显著。

业务初期进行容器化改造时，为了能更快地完成改造，我们在安全相关的部分会稍有放松。此外，业务大规模容器化后，由于基础组件及服务未及时跟进，也容易漏掉一些安全相关的环节。最后，传统的基于边界的安全在云原生时代下略显不足，云原生应用更倾向于识别动态工作负载，基于其属性和元数据进行保护。

本小册将着眼于云原生时代下 Kubernetes 和容器化等技术在安全方面的原理及应用，为你介绍如何打造更安全的云原生应用，希望能对你有所帮助。

以下是本小册相关知识点的思维导图：

整体大纲逻辑是自下而上（从底层技术往上层走），底层技术是基础，并且每篇都会包含实践的内容。最后标准化和自动化的内容是一个偏理论或者说扩展性的总结。

你会学到什么？

这个小册，将通过 4 个模块、17 讲正文内容，带你打造更安全的云原生应用。

• 模块一：底层技术安全。通过这一模块，为你介绍 Linux 系统的权限模型，以及容器技术的核心 cgroup 和 namespace 是如何为容器构造隔离环境的。

• 模块二：容器技术安全。在这一模块中，我将为你介绍如何进行容器运行时安全防护，以及提升容器和镜像安全的手段和实践。从源头来为云原生应用进行加固。最后，还会为你介绍能带来更好隔离性的安全容器。

• 模块三：Kubernetes 安全。通过 8 讲的内容，为你详细介绍 Kubernetes 安全的核心知识及应用实践。通过简单且易于上手的实例，让你轻松将相关经验应用到生产实践中。

• 模块四：标准化和自动化。在这一模块，我将结合 Service Mesh、Multi Cloud 、CRD 等当前火热/未来发展趋势的技术，让你学习到如何加固云原生应用的开发流程，以及为可扩展的 Kubernetes 平台做技术储备。

适宜人群

1. 软件工程师

痛点：业务逐步转向云原生的开发/部署模式，但不知道如何更优雅地开发云原生应用。

学习目标：通过学习本小册，可以掌握更多的容器和 Kubernetes 相关的知识，进行知识储备。

2. 运维工程师

痛点：云原生 & Kubernetes 是主流方向，作为集群管理员，不知道该如何在生产实践中加固 Kubernetes 环境。

学习目标：通过学习本小册，掌握如何构建更安全的 Kubernetes 环境，并应用到生产实践中。

3. 团队负责人

痛点：前期为了更快地推进业务改造，没有过多注意安全问题。现在大量业务已经完成改造，安全问题逐步显现。

学习目标：通过学习本小册，了解 Kubernetes 中潜在的攻击面，结合自己团队的实际情况，进行相关的查缺补漏。

• 一切的基础：从 Linux 的权限和能力模型说起

• 开篇词：云原生不仅要灵活，更要安全！

• 应用实践：动手实现一个容器环境

• 安全防护：容器运行时安全

• 更安全的容器：关于安全容器知多少

• 容器技术的基石：cgroup 如何进行资源限制？

• 容器技术的基石：namespace 如何提供隔离性保证？

• 从源头治理：镜像和容器安全

• 准入控制：更灵活的安全机制

• 权限控制：基于角色的权限控制

• 资源安全：我的资源还好吗？

• 配置安全：如何保护我的私密信息？

• 网络安全：如何给服务设置边界？

• 追根究底：审计日志的作用

• 组件安全：我的 Kubernetes 集群安全吗？

• 运行时安全：谁动了我的 Kubernetes？

• 应用安全及 DevSecOps

• 更多的 Kubernetes 应用场景及扩展

• 结束语：一起构建更安全可靠的云原生环境