Skip to Content
Kubernetes:アップ・アンド・ランニング 第3版
book

Kubernetes:アップ・アンド・ランニング 第3版

by Brendan Burns, Joe Beda, Kelsey Hightower, Lachlan Evenson
March 2025
Intermediate to advanced content levelIntermediate to advanced
328 pages
4h 54m
Japanese
O'Reilly Media, Inc.
Book available
Content preview from Kubernetes:アップ・アンド・ランニング 第3版

第19章 Kubernetesでアプリケーションを保護する Kubernetesでアプリケーションをセキュリティで保護する

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている:translation-feedback@oreilly.com

ワークロードを実行するためのセキュアなプラットフォームを提供することは、Kubernetesが本番環境で広く利用されるために不可欠だ。 ありがたいことに、Kubernetesにはセキュアな運用環境を構築できる、セキュリティに特化したさまざまなAPIが同梱されている。課題は、多くの異なるセキュリティAPIがあり、それらを使用するには宣言的にオプトインしなければならないことだ。これらのセキュリティに特化したAPIを使用することは、面倒で複雑な場合があり、希望のセキュリティ目標を達成することを難しくする。

KubernetesでPodのセキュリティを確保する際には、多層防御と最小権限の原則という2つの概念を理解することが重要だ。多層防御とは、Kubernetesを含むコンピューティング・システム全体で多層のセキュリティ制御を使用する概念だ。最小権限の原則とは、ワークロードが演算子として必要なリソースだけにアクセスできるようにすることだ。これら2つの概念は、目的ではなく、変化し続けるコンピューティング・システムの状況に常に適用されるものだ。

この章では、Podレベルでワークロードのセキュリティを確保するためにインクリメント的に適用できる、セキュリティに特化したKubernetes APIを取り上げる。

SecurityContextを理解する

SecurityContextは、Podとコンテナ仕様の両方のレベルで適用できる、セキュリティに焦点を当てたすべてのフィールドの集合体である。 以下は、SecurityContextがカバーするセキュリティ制御の例である:

  • ユーザの権限とアクセス制御(ユーザIDとグループIDのセットなど)

  • 読み取り専用のルートファイルシステム

  • 特権の昇格を許可する

  • Seccomp、AppArmor、SELinuxのプロファイルとラベルの代入

  • 特権または非特権で実行する

例19-1で定義したSecurityContextを持つPodの例を見てみよう。

例 19-1. kuard-pod-securitycontext.yaml
apiVersion: v1
kind: Pod
metadata:
  name: kuard
spec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 3000
    fsGroup: 2000
  containers:
    - image: gcr.io/kuar-demo/kuard-amd64:blue
      name: kuard
      securityContext:
          allowPrivilegeEscalation: false
          readOnlyRootFilesystem: true
          privileged: false
      ports:
        - containerPort: 8080
          name: http
          protocol: TCP

この例では、Podレベルとコンテナレベルの両方にSecurityContextがあることがわかる。 セキュリティ制御の多くは、これら両方のレベルで適用できる。両方で適用する場合は、コンテナレベルの設定が優先される。 ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.
Start your free trial

You might also like

スタッフエンジニアの道 ―優れた技術専門職になるためのガイド

スタッフエンジニアの道 ―優れた技術専門職になるためのガイド

Tanya Reilly, 島田 浩二
リーンエンタープライズ ―イノベーションを実現する創発的な組織づくり

リーンエンタープライズ ―イノベーションを実現する創発的な組織づくり

Jez Humble, Joanne Molesky, Barry O'Reilly, 角 征典, 笹井 崇司, Eric Ries

Publisher Resources

ISBN: 9798341624382Supplemental Content