บทความนี้อธิบายวิธีการตั้งค่า Admission Control Policy บน Sangfor Kubernetes Engine (SKE) v2.2.0 ซึ่งเป็นระบบควบคุมการ deploy container service ใหม่เพื่อความปลอดภัยของ Kubernetes cluster
ข้อมูลทั่วไปเกี่ยวกับ Admission Control Policy
Admission Control Policy เป็นกลไกที่ช่วยควบคุมและตรวจสอบ container service ที่จะถูก deploy ใหม่บน Kubernetes cluster โดย SKE รองรับการกำหนด policy 2 รูปแบบ ได้แก่ Block (บล็อกการ deploy ที่ไม่เป็นไปตาม policy) และ Allow and Audit (อนุญาตให้ deploy แต่บันทึก audit log ไว้)
การกำหนดค่า Policy (Policy Configuration)
คำอธิบาย: กำหนด admission control policy สำหรับการควบคุมการ deploy container service ใหม่
ขั้นตอน:
1. เข้าสู่ระบบ SCP ไปที่ Compute > Kubernetes Engine > Cluster Management > Admission Control Policy ปรับค่า policy ตามต้องการ โดยมี 2 ตัวเลือก ได้แก่ Block และ Allow and Audit
2. ในกรณีพิเศษ สามารถปิดการใช้งาน App Admission Control ได้ หลังจากปิดแล้ว จะไม่มีการตรวจสอบ admission control สำหรับ container service ใหม่
การดู Audit Logs
คำอธิบาย: ตรวจสอบการดำเนินการบน Kubernetes cluster ตาม resource type, namespace และ violation
ขั้นตอน:
ไปที่ Compute > Kubernetes Engine > Cluster Management > Admission Control Policy > Audit Logs เพื่อดู log ต่าง ๆ ที่เกี่ยวข้อง
ประเภท Policy ที่รองรับ
SKE v2.2.0 รองรับ admission control policy หลายประเภท ที่ช่วยควบคุมความปลอดภัยของ container ได้แก่:
- การจำกัด container image ที่อนุญาตให้ใช้งาน
- การควบคุม privilege escalation ของ container
- การจำกัด host namespace sharing
- การควบคุม resource limits และ requests
- การจำกัด volume types ที่อนุญาต
หมายเหตุสำคัญ
- การตั้งค่า policy เป็น Block จะป้องกันไม่ให้ deploy container service ที่ไม่เป็นไปตาม policy
- การตั้งค่า policy เป็น Allow and Audit จะอนุญาตให้ deploy แต่จะบันทึกไว้ใน audit log
- การปิด App Admission Control ควรทำเฉพาะในกรณีพิเศษเท่านั้น เนื่องจากจะทำให้ไม่มีการตรวจสอบ security policy
- Audit Logs สามารถกรองได้ตาม resource type, namespace และ violation type
อ้างอิงจากคู่มือผู้ใช้ Sangfor SKE v2.2.0 - Admission Control Policy
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น