कुबेरनेट्स (Kubernetes) दस्तावेज़ का यह खंड आपको वर्कलोड (workloads) को अधिक सुरक्षित रूप से चलाने के बारे में सीखने और कुबेरनेट्स क्लस्टर (cluster) को सुरक्षित रखने के आवश्यक पहलुओं के बारे में मदद करने के लिए है।
कुबेरनेट्स एक क्लाउड-नेटिव आर्किटेक्चर पर आधारित है, और क्लाउड नेटिव सूचना सुरक्षा के अच्छे अभ्यास के बारे में CNCF से सलाह लेता है।
अपने क्लस्टर और उस पर चल रहे एप्लिकेशन को सुरक्षित करने के व्यापक संदर्भ के लिए क्लाउड नेटिव सुरक्षा और कुबेरनेट्स (Cloud Native Security and Kubernetes) पढ़ें।
कुबेरनेट्स में कई API और सुरक्षा नियंत्रण (security controls) शामिल हैं, साथ ही नीतियां (policies) परिभाषित करने के तरीके भी हैं जो यह तय कर सकते हैं कि आप सूचना सुरक्षा का प्रबंधन कैसे करते हैं।
किसी भी कुबेरनेट्स क्लस्टर के लिए एक प्रमुख सुरक्षा तंत्र कुबेरनेट्स API तक पहुंच को नियंत्रित करना है।
कुबेरनेट्स आपसे अपेक्षा करता है कि आप कंट्रोल प्लेन के भीतर, और कंट्रोल प्लेन और इसके क्लाइंट्स के बीच डेटा एन्क्रिप्शन इन ट्रांज़िट (data encryption in transit) प्रदान करने के लिए TLS को कॉन्फ़िगर और उपयोग करें। आप कुबेरनेट्स कंट्रोल प्लेन के भीतर संग्रहीत डेटा के लिए एन्क्रिप्शन एट रेस्ट (encryption at rest) भी सक्षम कर सकते हैं; यह आपके स्वयं के वर्कलोड के डेटा के लिए एन्क्रिप्शन एट रेस्ट का उपयोग करने से अलग है, जो एक अच्छा विचार भी हो सकता है।
Secret API उन कॉन्फ़िगरेशन मानों के लिए बुनियादी सुरक्षा प्रदान करता है जिनके लिए गोपनीयता की आवश्यकता होती है।
यह सुनिश्चित करने के लिए कि Pods और उनके कंटेनर उचित रूप से अलग (isolated) हैं, पॉड सुरक्षा मानकों (Pod security standards) को लागू करें। यदि आपको आवश्यकता हो तो कस्टम आइसोलेशन को परिभाषित करने के लिए आप RuntimeClasses का भी उपयोग कर सकते हैं।
नेटवर्क नीतियां (Network policies) आपको Pods के बीच, या Pods और आपके क्लस्टर के बाहर के नेटवर्क के बीच नेटवर्क ट्रैफ़िक को नियंत्रित करने देती हैं।
आप Pods, उनके कंटेनर और उनमें चलने वाली छवियों (images) के आसपास निवारक (preventative) या जासूसी (detective) नियंत्रण लागू करने के लिए व्यापक इकोसिस्टम (ecosystem) से सुरक्षा नियंत्रण तैनात कर सकते हैं।
एडमिशन कंट्रोलर (Admission controllers) प्लगइन्स (plugins) हैं जो कुबेरनेट्स API अनुरोधों को इंटरसेप्ट करते हैं और अनुरोध में विशिष्ट फ़ील्ड के आधार पर अनुरोधों को मान्य (validate) या परिवर्तित (mutate) कर सकते हैं। इन नियंत्रकों को सोच-समझकर डिज़ाइन करने से अनपेक्षित व्यवधानों से बचने में मदद मिलती है क्योंकि संस्करण अपडेट (version updates) में कुबेरनेट्स API बदलते हैं। डिज़ाइन संबंधी विचारों (design considerations) के लिए, एडमिशन वेबहुक गुड प्रैक्टिसेज (Admission Webhook Good Practices) देखें।
कुबेरनेट्स ऑडिट लॉगिंग क्लस्टर में क्रियाओं के अनुक्रम (sequence of actions) का दस्तावेजीकरण करने वाले सुरक्षा-प्रासंगिक (security-relevant), कालानुक्रमिक रिकॉर्ड प्रदान करता है। क्लस्टर उपयोगकर्ताओं द्वारा, कुबेरनेट्स API का उपयोग करने वाले एप्लिकेशन द्वारा, और स्वयं कंट्रोल प्लेन द्वारा उत्पन्न गतिविधियों का ऑडिट करता है।
यदि आप कुबेरनेट्स क्लस्टर अपने स्वयं के हार्डवेयर या किसी भिन्न क्लाउड प्रदाता पर चला रहे हैं, तो सुरक्षा सर्वोत्तम प्रथाओं (security best practices) के लिए अपने दस्तावेज़ से परामर्श लें। यहां कुछ लोकप्रिय क्लाउड प्रदाताओं के सुरक्षा दस्तावेज़ों के लिंक दिए गए हैं:
| IaaS प्रदाता | लिंक |
|---|---|
| Alibaba Cloud | https://www.alibabacloud.com/trust-center |
| Amazon Web Services | https://aws.amazon.com/security |
| Google Cloud Platform | https://cloud.google.com/security |
| Huawei Cloud | https://www.huaweicloud.com/intl/en-us/securecenter/overallsafety |
| IBM Cloud | https://www.ibm.com/cloud/security |
| Microsoft Azure | https://docs.microsoft.com/en-us/azure/security/azure-security |
| Oracle Cloud Infrastructure | https://www.oracle.com/security |
| Tencent Cloud | https://www.tencentcloud.com/solutions/data-security-and-information-protection |
| VMware vSphere | https://www.vmware.com/solutions/security/hardening-guides |
आप कुबेरनेट्स-नेटिव तंत्र (Kubernetes-native mechanisms) का उपयोग करके सुरक्षा नीतियां (security policies) परिभाषित कर सकते हैं, जैसे NetworkPolicy (नेटवर्क पैकेट फ़िल्टरिंग पर घोषणात्मक नियंत्रण (declarative control)) या ValidatingAdmissionPolicy (कुबेरनेट्स API का उपयोग करके कोई क्या परिवर्तन कर सकता है, इस पर घोषणात्मक प्रतिबंध)।
हालाँकि, आप कुबेरनेट्स के आसपास के व्यापक इकोसिस्टम से नीति कार्यान्वयन पर भी भरोसा कर सकते हैं। कुबेरनेट्स उन इकोसिस्टम परियोजनाओं को स्रोत कोड समीक्षा (source code review), कंटेनर इमेज अनुमोदन (container image approval), API पहुंच नियंत्रण, नेटवर्किंग और बहुत कुछ पर अपने स्वयं के नीति नियंत्रण (policy controls) लागू करने देने के लिए विस्तार तंत्र (extension mechanisms) प्रदान करता है।
नीति तंत्र (policy mechanisms) और कुबेरनेट्स के बारे में अधिक जानकारी के लिए, नीतियां (Policies) पढ़ें।
संबंधित कुबेरनेट्स सुरक्षा विषयों के बारे में जानें:
संदर्भ जानें:
प्रमाणित हों:
इस अनुभाग में और पढ़ें:
इस पृष्ठ की वस्तुओं अन्य पक्ष के उत्पादों या परियोजनाओं से जुड़ा है जो कुबेरनेट्स द्वारा आवश्यक कार्यक्षमता प्रदान करते हैं। कुबेरनेट्स परियोजना के लेखक इन अन्य पक्ष के उत्पादों या परियोजनाओं के लिए जिम्मेदार नहीं हैं। अधिक जानकारी के लिए यह CNCF वेबसाइट दिशानिर्देश पृष्ठ पढ़े।"
कोई नई अतिरिक्त अन्य पक्ष लिंक जोड़ने से पहले यह पृष्ठ विषय मार्गदर्शक पृष्ठ पढ़के ही परिवर्तन का प्रस्ताव प्रस्तुत करें।