Kubernetes 資源清單靜態分析工具 - KubeLinter
KubeLinter 是一種開源靜態分析工具,用于識別 Kubernetes 對象中的錯誤配置。KubeLinter 提供了對 Kubernetes YAML 文件和 Helm Chart 的安全檢查的能力,驗證集群配置是否遵循最佳安全實踐。通過內置檢查,可以獲得有關錯誤配置和違反 Kubernetes 策略的反饋。這提高了開發人員的工作效率,將安全即代碼與 DevOps 和 DevSecOps 流程集成,同時確保為 Kubernetes 應用程序自動實施強化的安全策略。
KubeLinter 分析 YAML 文件和 Helm Chart 并運行 Kubernetes 原生安全檢查,以識別提升的訪問權限、錯誤配置和一般的最佳實踐違規行為。KubeLinter 是一個基于 Go 的二進制文件,用于命令行或 CI 管道的一部分,并在允許任何 Kubernetes 配置更改之前為開發人員提供必要的安全檢查。目前,CLI 中內置了 19 項安全檢查,包括:
- 使用默認ServiceAccount
- 不匹配的選擇器
- 以 root 身份運行容器
- 設置可寫的 host 主機掛載
安裝 KubeLinter
使用 Go 安裝
- GO111MODULE=on go get golang.stackrox.io/kube-linter/cmd/kube-linter
或者直接從 Release 頁面(https://github.com/stackrox/kube-linter/releases/tag/0.2.2)下載最新的二進制文件添加到 PATH 路徑下即可。
使用 brew 安裝
在 macOS 下使用 Homebrew 或者在 Linux 下使用 LinuxBrew 安裝:
- brew install kube-linter
使用 KubeLinter
運行 KubeLinter 對 YAML 文件進行 Lint 只需要最基本的兩個步驟即可:
1. 找到您要測試安全性和生產就緒最佳實踐的 YAML 文件
2. 執行命令 kube-linter lint /path/to/your/yaml.yaml
例如下面的的 pod.yaml 資源文件,該文件存在幾個問題:
安全問題
1. 這個 pod 中的容器不是作為只讀文件系統運行的,這可能允許它寫入 root 文件系統。
生產就緒
1. 容器的 CPU 限制未設置,這可能會使其消耗過多的 CPU2. 未設置容器的內存限制,這可能會使其消耗過多內存
- apiVersion: v1
- kind: Pod
- metadata:
- name: security-context-demo
- spec:
- securityContext:
- runAsUser: 1000
- runAsGroup: 3000
- fsGroup: 2000
- volumes:
- - name: sec-ctx-vol
- emptyDir: {}
- containers:
- - name: sec-ctx-demo
- image: busybox
- resources:
- requests:
- memory: "64Mi"
- cpu: "250m"
- command: [ "sh", "-c", "sleep 1h" ]
- volumeMounts:
- - name: sec-ctx-vol
- mountPath: /data/demo
- securityContext:
- allowPrivilegeEscalation: false
3. 拷貝上面的 pod.yaml 文件執行下面的命令進行 lint
- kube-linter lint pod.yaml
4. KubeLinter 運行默認檢查,會輸出如下所示的結果
- pod.yaml: (object: <no namespace>/security-context-demo /v1, Kind=Pod) container "sec-ctx-demo" does not have a read-only root file system (check: no-read-only-root-fs, remediation: Set readOnlyRootFilesystem to true in your container's securityContext.)
- pod.yaml: (object: <no namespace>/security-context-demo /v1, Kind=Pod) container "sec-ctx-demo" has cpu limit 0 (check: unset-cpu-requirements, remediation: Set your container's CPU requests and limits depending on its requirements. See https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/ #requests-and-limits for more details.)
- pod.yaml: (object: <no namespace>/security-context-demo /v1, Kind=Pod) container "sec-ctx-demo" has memory limit 0 (check: unset-memory-requirements, remediation: Set your container's memory requests and limits depending on its requirements. See https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/ #requests-and-limits for more details.)
- Error: found 3 lint errors
