HarmonyOS开发者限时福利来啦!最高10w+现金激励等你拿~ 了解详情
写点什么

CNCF 发布 Kubernetes 策略管理白皮书

  • 2022-08-12
    北京
  • 本文字数:1068 字

    阅读完需:约 4 分钟

CNCF发布Kubernetes策略管理白皮书

CNCF 最近发布了一份关于 Kubernetes 策略管理的白皮书。白皮书强调了 Kubernetes 策略管理在集群安全和自动化以及工作负载方面的重要性,并对 Kubernetes 策略所解决的问题以及策略的正确实施进行了深入探讨。


白皮书为 Kubernetes 策略管理提供了一个参考架构,为基于策略的操作提供了指导,并强调了如何将策略映射到安全性的其他方面,如威胁建模、保证和事件响应。


白皮书介绍了来自OASIS的标准语言XACML,这门语言用于定义策略语言、架构和处理模型。



图片由 CNCF 提供


此外,白皮书还展示了不同的 XACML 实体、它们之间的交互以及它们与 Kubernetes 策略管理的关系。这包括策略实施点(Policy Enforcement Point,PEP)、策略决策点(Policy Decision Point,PDP)、策略信息点(Policy Information Point,PIP)和策略管理点(Policy Administration Point,PAP)。



图片由 CNCF 提供


在这种架构中,PAP 创建可供 PDP 使用的策略或策略集。任何一个用户或系统请求都会被 PEP 拦截,PEP 与 PDP 发生交互并决定如何处理请求。PEP 有助于执行策略,确保 Kubernetes 工作负载和集群的当前状态与策略定义的预期状态是匹配的。然后 PDP 会告诉 PEP 应该如何继续。换句话说,就是允许或拒绝请求。


此外,白皮书强调,Kubernetes 策略管理适用于容器的所有四个生命周期阶段:开发、分发、部署和运行时(CNCF 安全特别兴趣组 SIG 在云原生安全白皮书中所述),特别是在涉及容器镜像和 Kubernetes 配置时。


在这个模型中,Kubernetes 策略是软件交付管道的一部分,也被称为策略即代码(Policy as Code,PaC)。


白皮书提到,通过将 Kubernetes 策略映射到其他安全功能(如安全保证和合规性),策略将云原生组织中的操作和其他安全领域连接在一起。


白皮书指出,在动态云原生环境中有必要采用一种整体的安全保障方法来解决独特的安全需求。


这包括为平台和工作负载开发威胁模型,将安全性纳入到软件交付管道中,以及检测违反策略的行为,特别是在运行时。


此外,白皮书强调了 Kubernetes 托管的策略在自动化合规性控制和遵守监管标准(如 PCI、NIST 800-30、HIPAA 等)方面起到的作用。为此,我们可以通过策略将文档化的合规性目标与集群、工作负载或运行时级别的技术控制联系起来。


白皮书作者的目标是通过采用基于策略的操作帮助组织实现更安全、更合规的目标。


白皮书专注于策略管理,相关项目和工具的清单可以在CNCF Cloud Native Interactive Landscape中找到。


用户可以加入 Kubernetes 策略工作组,并提出和讨论想法,或通过电子邮件 wg-policy@googlegroups.com 或Slack频道联系相关人员。


原文链接

CNCF Publishes the Kubernetes Policy Management Whitepaper

2022-08-12 09:276953

评论

发布
暂无评论
发现更多内容

After Effects 2024 for Mac/win(AE2024视频特效)v24.6.2中文激活版

理理

打造你的专属语音助手,基于函数计算托管 CosyVoice 语音模型

阿里巴巴云原生

阿里云 云原生 函数计算

精准监控,高效运营 —— 商品信息实时分析为商家带来新机遇

技术冰糖葫芦

API 接口 API 文档 API 测试 pinduoduo API API 性能测试

mac首选终端工具SecureCRT for mac

理理

xcode下载哪里有?Xcode for Mac中文免激活版下载安装包分享

理理

软件测试学习笔记丨质量门禁 - SonarQube

测试人

软件测试

哪些情况下 MySQL 配置文件会被截断?

秃头小帅oi

「软件设计哲学」于延保代码改造中的实践

京东科技开发者

浙江鲲鹏昇腾产业与人才创新论坛成功举办!

Geek_2d6073

数据仓库 Palo 2.0 for Apache Doris 冷热分离原理分析

Baidu AICLOUD

数据仓库 数据仓库服务

解锁保险新世界-带你走进保险基本法

京东科技开发者

在Vue3中如何实现四种全局状态数据的统一管理?

不在线第一只蜗牛

JavaScript vue.js 前端

内核级流量治理引擎Kmesh八大新特性解读

华为云开发者联盟

服务网格 ebpf Sidecar Kmesh

万界星空科技光伏能源MES解决方案

万界星空科技

mes 万界星空科技mes 光伏行业 光伏能源行业

JDK线程池详解(全网最全-原理解析、源码详解)

EquatorCoco

Java Python

没有方向盘和踏板,特斯拉发布无人驾驶出租车;字节豆包推出 AI 智能体耳机 Ola Friend丨 RTE 开发者日报

声网

在API 接口的设计中数据的安全性和完整性,该如何保证?

伤感汤姆布利柏

通义灵码 AI 程序员来了!丨阿里云云原生 9 月产品月报

阿里巴巴云原生

阿里云 云原生 通义灵码

Code Review:探索工程实践之道

京东科技开发者

淘宝商品详情API返回值:深度挖掘其业务价值

代码忍者

pinduoduo API API 性能测试

博睿数据Bonree ONE全面适配HarmonyOS NEXT,守护鸿蒙原生应用稳健前行

博睿数据

Mysql的LSN是什么?

高端章鱼哥

云桌面VS传统PC:企业用户该如何取舍

青椒云云电脑

云桌面

拍立淘API返回值在商品数据分析中的应用

代码忍者

pinduoduo API API 性能测试

Goja—Go 和 JavaScript 的桥梁

FunTester

苹果与英伟达公开分手,谷歌 TPU 芯片成为苹果 AI 训练新利器

中昊芯英

苹果 谷歌 TPU #人工智能 #GPU

首个 AI 编程认证课程上线!阿里云 AI Clouder 认证:基于通义灵码实现高效 AI 编码

阿里巴巴云原生

阿里云 AI 云原生 通义灵码

首个 AI 编程认证课程上线!阿里云 AI Clouder 认证:基于通义灵码实现高效 AI 编码

阿里云云效

阿里云 云原生 通义灵码

Mac专用投屏工具:AirServer 7 for Mac 激活版

你的猪会飞吗

AIrserver7 Mac软件下载站 AirServer 7 mac激活版

登顶!智源BGE首开国产模型Hugging Face月度下载全球第一

智源研究院

阿里云可观测 2024 年 9 月产品动态

阿里巴巴云原生

阿里云 云原生 可观测

CNCF发布Kubernetes策略管理白皮书_DevOps & 平台工程_Mostafa Radwan_InfoQ精选文章