Knative serving 中的安全最佳实践

本文档介绍了如何按照安全最佳实践配置 Knative serving 及其主要组件。

确保 Knative serving 的安全

Knative serving 基于开源 Knative 项目，并继承了其安全状况。

在 Knative serving 上运行的工作负载共享相同的网络和计算节点。您应该为没有相互信任的工作负载创建单独的集群。Knative serving 集群不应运行不相关的工作负载，例如 CI/CD 基础设施或数据库。

为 Knative serving 工作负载创建多个集群的原因包括：

• 分隔开发环境与生产环境。
• 隔离不同团队拥有的应用。
• 隔离具有高权限的工作负载。

设计集群后，请采取以下措施来保护集群：

• 限制对集群的访问权限。
• 了解 Knative 威胁模型。
• 如果您打算使用社区支持的工具，请阅读 Knative 安全参考文档。

保护组件

您负责确保不属于 Knative serving 的组件的安全。

Cloud Service Mesh

Knative serving 依赖 Cloud Service Mesh 来路由流量。

使用以下指南来帮助确保 Cloud Service Mesh 的安全：

• Cloud Service Mesh 安全概览和功能。
• Cloud Service Mesh 安全最佳实践。

Google Kubernetes Engine

Knative serving 使用 Google Kubernetes Engine (GKE) 来调度工作负载。请通过以下措施来帮助保护集群：

• 按照 GKE Enterprise 安全教程操作。
• 了解 Google Kubernetes Engine 多租户模型。
• 遵循 Google Kubernetes Engine 集群安全强化指南。
• 了解 Google Kubernetes Engine 责任共担模型。

已知漏洞

您应该订阅 Knative serving 依赖项的安全公告，以便及时了解已知漏洞：

• Cloud Service Mesh 安全公告。
• GKE Enterprise 安全公告。