本文档介绍了如何配置 Knative serving 及其主要 组件。
保护 Knative serving
Knative serving 基于开源的 Knative 项目,并继承其 安全状况。
在 Knative serving 上运行的工作负载共享同一网络和计算节点。 您应该为没有相互信任的工作负载创建单独的集群。Knative serving 集群不应运行 CI/CD 等不相关的工作负载 基础架构或数据库。
为 Knative serving 工作负载创建多个集群的原因包括:
- 分隔开发环境与生产环境。
- 隔离不同团队拥有的应用。
- 隔离高权限工作负载。
设计集群后,请采取以下措施来保护集群:
保护组件
您负责保护不属于 Knative serving 的组件。
Cloud Service Mesh
Knative serving 依赖于 用于路由流量的 Cloud Service Mesh。
使用以下指南可帮助您保护 Cloud Service Mesh:
Google Kubernetes Engine
Knative serving 使用 Google Kubernetes Engine (GKE) 来调度工作负载。 请通过以下措施来帮助保护集群:
- 按照 GKE Enterprise 安全教程中的说明操作。
- 了解 Google Kubernetes Engine 多租户模型。
- 遵循 Google Kubernetes Engine 集群安全强化指南。
- 了解 Google Kubernetes Engine 责任共担模型。
已知漏洞
您应该订阅 Knative serving 依赖项的安全公告 以便您及时了解已知漏洞: