Knative 服務中的安全性最佳做法

本文說明如何按照安全最佳做法,設定 Knative 服務及其主要元件。

保護 Knative serving

Knative Serving 是以開放原始碼的 Knative 專案為基礎,並沿用其安全狀態。

在 Knative 服務上執行的工作負載會共用相同的網路和運算節點。對於沒有互信關係的工作負載,您應建立個別叢集。 Knative 服務叢集不應執行不相關的工作負載,例如 CI/CD 基礎架構或資料庫。

為 Knative serving 工作負載建立多個叢集的原因包括:

  • 將開發環境與實際工作環境分開。
  • 隔離不同團隊擁有的應用程式。
  • 隔離高權限工作負載。

設計叢集後,請採取下列行動來確保叢集安全:

保護元件安全

您有責任保護不屬於 Knative serving 的元件。

Cloud Service Mesh

Knative serving 會透過 Cloud Service Mesh 轉送流量

請參閱下列指南,瞭解如何保護 Cloud Service Mesh:

Google Kubernetes Engine

Knative 服務會使用 Google Kubernetes Engine (GKE) 排定工作負載。請採取下列行動,確保叢集安全:

已知安全漏洞

您應訂閱 Knative serving 依附元件的安全性公告,以便掌握已知安全漏洞的最新資訊: