Kubernetes 安全配置与性能优化全景指南
在 Kubernetes 中,安全配置不仅关系到系统防护,还直接影响性能和稳定性。错误的配置可能导致资源耗尽、API Server 压力增加、Pod 启动缓慢等问题。以下是 12 个常见安全配置误区及其对性能的影响、修复措施与示例 YAML。
1. 过度使用特权容器 (privileged: true)
- 错误配置:Pod 或容器设置 privileged: true。
- 安全风险:容器几乎拥有宿主机所有权限,容易逃逸。
- 性能影响:
绕过资源限制,消耗 CPU、内存、IO。
执行大量系统调用增加内核负担。
- 修复建议:使用 capabilities 按需添加能力,丢弃不必要的能力。
- YAML 示例:
securityContext:privileged: falsecapabilities:drop:- ALLadd:- NET_BIND_SERVICE
2. 未设置资源限制 (resources.requests / resources.limits)
- 错误配置:未为 Pod 设置资源请求和限制。
- 安全风险:被入侵容器可耗尽节点资源。
- 性能影响:
调度器无法合理调度,节点压力大。
应用争抢资源,性能不稳定。
- 修复建议:设置合理的 requests 与 limits,可使用 VPA 自动调整。
- YAML 示例:
resources:requests:memory: "128Mi"cpu: "250m"limits:memory: "256Mi"cpu: "500m"
3. 默认 Service Account
- 错误配置:Pod 自动挂载 default Service Account。
- 安全风险:攻击者可滥用 API 权限。
- 性能影响:
攻陷 Pod 频繁访问 API Server,造成过载。
etcd 承受额外负载。
- 修复建议:automountServiceAccountToken: false,为需要访问 API 的 Pod 创建最小权限 SA。
- YAML 示例:
serviceAccountName: custom-saautomountServiceAccountToken: false
4. 宽松的 Pod 安全标准
- 错误配置:允许特权 Pod 或禁用 PodSecurityPolicy 替代方案。
- 安全风险:多种逃逸和攻击面。
- 性能影响:不安全 Pod 消耗资源,破坏隔离。
- 修复建议:使用 Pod Security Admission 或 Kyverno/OPA 强制 restricted 策略。
- YAML 示例:
spec:enforce: "restricted"
5. 缺乏网络策略
- 错误配置:未定义 NetworkPolicy,允许 Pod 任意通信。
- 安全风险:横向移动攻击面大。
- 性能影响:
East-West 流量爆炸,耗尽带宽和 conntrack 表。
- 修复建议:零信任网络,默认拒绝所有流量。
- YAML 示例:
policyTypes:- Ingress- EgresspodSelector: {}
6. 总是拉取镜像 (imagePullPolicy: Always) 与不可靠仓库
- 错误配置:每次 Pod 启动都从远程仓库拉取镜像。
- 安全风险:镜像来源不可信。
- 性能影响:
Pod 启动延迟大。
网络带宽占用严重。
- 修复建议:使用 IfNotPresent,部署本地镜像缓存。
- YAML 示例:
image: myrepo/myapp:1.0.0imagePullPolicy: IfNotPresent
7. 忽视内核安全模块(AppArmor / Seccomp / SELinux)
- 错误配置:未使用或配置错误。
- 安全风险:容器可执行危险系统调用。
- 性能影响:
错误配置阻塞合法系统调用,性能下降。
正确配置限制无关调用,减少内核开销。
- 修复建议:从 runtime/default 开始,逐步细化。
- YAML 示例:
securityContext:seccompProfile:type: RuntimeDefault
8. 滥用默认命名空间
- 错误配置:所有 Pod 都部署在 default。
- 安全风险:缺乏隔离,配置错误风险高。
- 性能影响:
资源管理困难。
kube-proxy 和 CoreDNS 列表庞大。
- 修复建议:创建独立命名空间,并使用 ResourceQuota 与 LimitRange。
- YAML 示例:
apiVersion: v1kind: Namespacemetadata:name: prod---apiVersion: v1kind: ResourceQuotametadata:name: prod-quotanamespace: prodspec:hard:requests.cpu: "4"requests.memory: "8Gi"limits.cpu: "8"limits.memory: "16Gi"---apiVersion: v1kind: LimitRangemetadata:name: prod-limitsnamespace: prodspec:limits:- default:cpu: "500m"memory: "512Mi"defaultRequest:cpu: "250m"memory: "256Mi"type: Container
9. RBAC 权限过宽
- 错误配置:Role/ClusterRole 赋予过多权限。
- 安全风险:被攻陷 Pod 可修改集群资源。
- 性能影响:滥用 API Server,造成过载。
- 修复建议:严格遵循最小权限原则。
- YAML 示例:
apiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata:name: pod-readernamespace: prodrules:- apiGroups: [""]resources: ["pods"]verbs: ["get", "list", "watch"]
10. 日志与监控配置不当
- 错误配置:频繁采集日志/指标或写入慢存储。
- 性能影响:
CPU、IO、网络占用高。
Prometheus scrape interval 太短导致 API Server 压力。
- 修复建议:合理采集,使用轻量 agent。
- YAML 示例:
apiVersion: v1kind: ConfigMapmetadata:name: fluentbit-confignamespace: monitoringdata:parsers.conf: |[PARSER]Name dockerFormat jsonTime_Key timeTime_Format %Y-%m-%dT%H:%M:%S
11. 过度使用 Init Container 或 Sidecar
- 错误配置:Pod 加入大量 Init Container 或 Sidecar。
- 性能影响:
Pod 启动延迟增加。
Sidecar 消耗 CPU/内存和网络资源。
- 修复建议:评估必要性,按需注入。
- YAML 示例:
initContainers:- name: init-dbimage: busyboxcommand: ["sh", "-c", "echo Initializing DB..."]containers:- name: appimage: nginx:latest
12. Node & kubelet 安全配置
- 错误配置:kubelet API 未限制,未启用 TLS/认证。
- 安全风险:攻击者可直接操控节点。
- 性能影响:恶意操作可能触发节点负载骤增。
- 修复建议:启用 kubelet TLS、认证、授权,并使用 NodeRestriction。
- 示例配置:
initContainers:- name: init-dbimage: busyboxcommand: ["sh", "-c", "echo Initializing DB..."]containers:- name: appimage: nginx:latest
核心原则总结
- 最小权限:Pod、SA、RBAC、kubelet、网络策略都遵循最小权限原则。
- 资源隔离:设置 requests/limits、命名空间、Sidecar/Init Container、日志采集等保证性能隔离。
- 纵深防御:Pod 安全标准、内核安全模块、网络策略、镜像策略、节点安全,多层保护性能稳定。
✅ 一个安全配置合理的 Kubernetes 集群,同时也是性能可预测、稳定可靠的集群
