Esta documentação é referente à versão mais recente do Cloud Run for Anthos, que usa frotas do Anthos e o Anthos Service Mesh. Saiba mais

A versão anterior foi arquivada, mas a documentação continua disponível para os usuários existentes.

Versões disponíveis

Mais recente
Arquivar

Práticas recomendadas de segurança na veiculação do Knative

Neste documento, descrevemos como configurar a exibição do Knative e os principais componentes dela seguindo as práticas recomendadas de segurança.

Como proteger a veiculação do Knative

A exibição do Knative é baseada no projeto de código aberto Knative e herda a postura de segurança dele.

As cargas de trabalho em execução no Knative compartilham os mesmos nós de rede e computação. Crie clusters separados para cargas de trabalho que não têm confiança mútua. Os clusters de exibição Knative não podem executar cargas de trabalho não relacionadas, como infraestruturas de CI/CD ou bancos de dados.

Os motivos para criar vários clusters para cargas de trabalho de exibição do Knative incluem:

separar o desenvolvimento de ambientes de produção;
isolar aplicativos que pertencem a diferentes equipes;
isolar cargas de trabalho altamente privilegiadas.

Depois de projetar seus clusters, realize as seguintes ações para protegê-los:

Como proteger componentes

Você é responsável por proteger componentes que não fazem parte da exibição do Knative.

Anthos Service Mesh

A exibição do Knative depende do Anthos Service Mesh para rotear o tráfego.

Use os guias a seguir para ajudar a proteger o Anthos Service Mesh:

Google Kubernetes Engine

A exibição do Knative usa o Google Kubernetes Engine (GKE) para programar cargas de trabalho. Realize as ações a seguir para ajudar a proteger seus clusters:

Vulnerabilidades conhecidas

Inscreva-se nos boletins de segurança para dependências de exibição do Knative para se manter atualizado sobre vulnerabilidades conhecidas: