Kubernetes ServiceAccount令牌投射与安全治理
使用投射令牌与受众/TTL控制,在 Pod 内提供短期与特定受众的访问令牌,提升安全与最小权限。
工程实践
Kubernetes RuntimeClass 与安全沙箱(gVisor/Kata 与验证)
使用RuntimeClass选择gVisor或Kata安全沙箱运行容器,降低系统调用面并强化隔离,提供配置示例与拦截验证方法。
Kubernetes Prometheus Adapter 自定义指标 HPA 实战
"通过 Prometheus Adapter 暴露自定义指标,并在 HPA 中引用 External Metrics 进行自动扩缩容。"
NetworkPolicy 零信任隔离治理(2025)
Kubernetes PodSecurity/NetworkPolicy 零信任隔离治理(2025)一、策略与范围PodSecurity:按 namespace 设置等级(Restricted/Baseline);限制特权与主机路径(PodSecurity)。NetworkPolicy:定义入口/出
Kubernetes Pod 安全策略与隔离实践(PSA、Seccomp、Capabilities 与验证)
通过命名空间PSA策略与容器安全上下文(Seccomp、AppArmor、能力降级与非root)实现细粒度隔离,并给出可重复的拦截与合规验证方法。
Kubernetes Pod 安全标准(PSS、Admission 与 OPA Gatekeeper)
以 PSS 为基础,结合 Admission 与 OPA Gatekeeper 实施 Pod 级安全策略与校验,保障最小权限与合规并提供验证方法。
Kubernetes Pod Security Admission:Baseline/Restricted治理
使用 PSA 在命名空间级实施容器安全基线,区分 Baseline 与 Restricted,阻断不安全配置与越权。
Kubernetes Pod Security Admission基线与受限治理
通过 PSA 基线/受限策略在命名空间维度强制安全约束,替代 PodSecurityPolicy 并简化治理。
Kubernetes Pod Security Admission与安全上下文实践
使用Pod Security Admission与安全上下文在集群中实施最小权限与隔离,提供可验证的命名空间标签与Deployment示例。
Kubernetes Pod Security Admission(PSA) 策略标签与违规验证实战
通过为命名空间设置 PSA 标签,强制/告警/审计不同级别的安全策略,并以违规示例验证策略生效。
