关键词:
1. 概览
HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生环境的安全和治理问题。核心能力包括混合云的安全治理和容器云安全检测。
本文将介绍如何使用HummerRisk 进行 kubernetes 检测,包括使用流程、配置信息详细说明、基础功能使用等。
2. K8s 检测前置条件
1)安装 tirvy-operator
# 1.添加 chart 仓库
helm repo add hummer https://registry.hummercloud.com/repository/charts
# 2.更新仓库源
helm repo update
# 3.开始安装, 可以自定义应用名称和NameSpace
helm install trivy-operator hummer/trivy-operator \\
--namespace trivy-system \\
--set="image.repository=registry.cn-beijing.aliyuncs.com/hummerrisk/trivy-operator" \\
--create-namespace --set="trivy.ignoreUnfixed=true"
# 4.检测operator是否启动成功
kubectl get pod -A|grep trivy-operator
trivy-system trivy-operator-69f99f79c4-lvzvs 1/1 Running 0 118s
2)k8s 账号添加校验
- 确定部署 hummerrisk 的主机可以访问该 k8s 集群的 6443 端口,需要网络可达、端口可以通,如果不通可以检查防火墙;
- 确定提供的 k8s Token 有足够的权限,hummerrisk 会通过该 Token 调用 k8s apiserver 的 api
- k8s token 权限可以参考如下 创建 ServiceAccount
cat <<EOF > hummer-sa.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
name: hummer
namespace: kube-system
EOF
创建 clusterrolebinding
cat <<EOF > hummer-clusterrolebinding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: hummer-user
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- kind: ServiceAccount
name: hummer
namespace: kube-system
EOF
创建资源
kubectl create -f ./hummer-sa.yaml
kubectl create -f ./hummer-clusterrolebinding.yaml
3) 获取 token
# 获取 token
kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | grep hummer | awk print $1) | grep token: | awk print $2
2. 工作流程
完成 “K8s检测”我们需要通过一下几个步骤来完成:
3. 创建kubernetes账号
进行kubernetes 检测的第一步是“创建kubernetes 账号”,因此需要确保你填写的相关配置信息无误,kubernetes 账号创建完成后,可以勾选该账号进行一键校验。具体步骤如下:
1) 登录到HummerRisk系统当中,点击云原生安全;
2) 点击 “K8s检测”,点击“创建 kubernetes 账号”;
3) 填写 kubernetes的配置信息;
4) 选择创建完成的kubernetes账号,点击“一键校验”,返回“成功”则代表kubernetes填写正确且可正常访问
4. 执行扫描
1. 执行扫描前需要确定 Operator和 kube-bench 已经安装,默认 HummerRisk会自动安装,点击kubernetes账号的安装日志可以查看,如下图:
2. 如果Operator和 kube-bench状态不是“有效”,可以点击对应的安装按钮,重新执行安装。
3. 之后进行扫描任务,详细步骤如下:
4. 登录到HummerRisk系统当中,点击云原生安全;
5. 点击 “K8s检测”,在对应kubernetes账号栏目点击“执行检测按钮”;
6. 等待检测成功。
5. 检测结果
kubernetes检测完成后,会输出检测结果,并通过可视化的页面帮助安全管理分析、洞察 kubernetes安全状态。详细步骤如下:
1) 登录到HummerRisk系统当中,点击云原生安全;
2) 点击 “K8s检测”,点击“K8s检测结果”;
3) 此时可以查看当前kubernetes安全状态,包含漏洞检测统计、配置审计统计、CIS统计等,同时根据风险级别进行分类统计,目前分为5类风险等级,包括:
4) 若需要查看检测结果详情,可以点击检测统计进行详细展示页面
5) 以“漏洞检测”为例,点击“漏洞检测统计”结果后,可查看到如下漏洞详情页面,根据漏洞详情页面中的信息,我们可以查看到存在漏洞的软件名称、CVEID、风险等级、修复版本号等
6) 其他结果
a. 配置审计报告
b. K8s CIS Benchmark 合规报告
7) 查看检测详细日志
“检测状态”会显示当前检测的执行状况,状态包括:“正在处理”,“已完成”,“异常”,“告警”。点击状态按钮,会打开检测的详细日志页面,帮助定位执行中遇到的问题,如下图:
6. K8s概览
通过K8s概览页面,我们可以快速分析出当前管理的kubernetes集群安全状态,以便于管理员快速发现安全问题。
hummerrisk使用教程:资源态势
1.概览HummerRisk是开源的云原生安全平台,以非侵入的方式解决云原生环境的安全和治理问题。核心能力包括混合云的安全治理和容器云安全检测。本文将介绍如何使用HummerRisk中的资源态势相关功能,HummerRisk中的资源态势在两个... 查看详情
hummerriskv0.3发布:新增源码依赖检测sbom管理镜像仓库同步云操作审计等功能
2022年9月,HummerRiskv0.3版本发布,本版本中软件安全方面新增源码依赖漏洞检测和SBOM管理,现在绑定的镜像仓库支持自动同步获取镜像列表,公有云方面新增云操作审计功能,同时优化K8s检测、首页等。HummerRisk保持高速的迭代,... 查看详情
k8s健康检测
...更加安全回滚restartPolicy规则,默认always,Onfailure1.livenness使用.(程序异常,但是并没有退出)分析判断容器健康条件,如果失败就重启案例 catheadlth.ymlapiVersion:v1kind:Podmetadata: &n 查看详情
k3s-轻量级k8s、kuboard面板,安装使用教程
参考技术A1、Helm是Kubernetes的包管理器2、NFS即网络文件系统3、K3s轻量级的Kubernetes发行版4、Kuboard,k8s面板https://kuboard.cn/learning在浏览器中打开链接http://your-ip-address:30080,记得开放安全组端口,k8s端口范围30000-32767输入初始用户名... 查看详情
k8s使用入门-创建第一个容器(代码片段)
前面两个教程我们已经使用kubekit将K8S搭建起来了。但是,没有将实际使用中需要在K8S上部署我们的容器创建起来的教程,都是耍流氓。所以,经过几番折腾,我回来给自己洗白了。之前一直卡在创建第一个容器上,是因为... 查看详情
手把手从零开始搭建k8s集群超详细教程(代码片段)
...服务器4.docker容器化环境安装5.kubeadm、kubectl、kubelet安装2.使用kubeadm引导集群1.下载k8s所需的镜像2.添加k8s中主节点的域 查看详情
手把手从零开始搭建k8s集群超详细教程(代码片段)
...服务器4.docker容器化环境安装5.kubeadm、kubectl、kubelet安装2.使用kubeadm引导集群1.下载k8s所需的镜像2.添加k8s中主节点的域 查看详情
使用kubeadm部署k8s(代码片段)
使用Kubeadm部署k8s本文参考官网教程,安装过程一波三折,几次想放弃,但又不甘心,一边翻着源码一边看着教程,最终才有了下面的内容。环境要求1.Ubuntu16.042核4G注意这里最好是2核,部署安装时发现单核导致ingress-nginx部分pod... 查看详情
k8s六pod生命周期(代码片段)
目录前言什么是探针探测方式检测探针-就绪检测新建资源清单调整就绪状态检测探针-存活检测存活检测-exec方式存活检测-httpGet方式存活检测-TCP方式启动、退出动作总结写在后面前言上一篇文章【k8s】五、Pod生命周期(一),... 查看详情
k8s教程----零基础快速入门(代码片段)
...员去了解学习。随着行业越来越内卷,k8s已经被广泛使用,作为一名运维人员,k8s将成为一个必须掌握的技术点,同时,我们也可以依靠它跳槽涨薪。一、什么是K8s它前生是谷歌的Borg系统,后经过Go语言重... 查看详情
k8s入门教程详解(代码片段)
文章目录Kubernetes入门教程详解(一)一、Kubernetes概述1.K8S发展历史由来2.K8S官网2.K8S是什么3.K8s优势及特点3.1K8S优势3.2K8S特点4.K8s集群架构与组件4.1K8s集群架构4.2K8s核心组件详细说明5.K8s核心概念5.1Master集群控制节点5.2Node工作负载节... 查看详情
开发和运维对k8s中的应用都做了啥?
...能力:健康检测接口用于检测应用的健康状态,在K8S中,使用Readiness和Liveness分别来探测应用是否就绪和是否存活,如果未就绪或者未存活,K8S会采取相应的措施来确保应用可用。如果我们应用未定义好相应的健康检测接口,K8S... 查看详情
高效实用k8s运行状态自动检测shell脚本(代码片段)
目标:学习本章,您将获得轻松管理500台虚机和物理机搭建的k8s集群的方法。掌握两种技能:1.分清哪些是k8s集群需要重点关注的信息2.如何量身定制k8s集群的shell脚本,让您的集群如虎添翼的安全、稳定、强大学习内容:提示:... 查看详情
高效实用k8s运行状态自动检测shell脚本(代码片段)
目标:学习本章,您将获得轻松管理500台虚机和物理机搭建的k8s集群的方法。掌握两种技能:1.分清哪些是k8s集群需要重点关注的信息2.如何量身定制k8s集群的shell脚本,让您的集群如虎添翼的安全、稳定、强大学习内容:提示:... 查看详情
[k8s]helm教程
helm组件:charsreleaserespository关系helmcs模型helmclient客户端tillerserver:负责客户端指定和k8s集群之间交互,根据chars的定义,生成和管理各种k8s资源对象helm安装参考:https://github.com/kubernetes/helmhelmversion#找到对应版本后下载对应版本的镜像do... 查看详情
kubernetes入门教程(代码片段)
...及k8s的架构、集群搭建、一个Redis的例子,以及如何使用operator-sdk开发operator的教程。在文章过程中,会穿插引出Pod、Deployment、StatefulSet等k8s的概念,这些概念通过例子引出来,更容易理解和实践。作者|凡澈来源|... 查看详情
rancher快速安装k8s图文教程
1.点击“环境管理”按钮2.添加一个新环境3.选择k8s模板,并添加至少一个主机##############################################################################每一个主机只能加到一个环境里#################################################################### 查看详情
k8s安装使用kubeasz安装多主多从k8s集群(简单快捷)(代码片段)
使用kubeasz安装多主多从k8s集群一、项目介绍kubeasz为github上开源的一个用于安装k8s集群的项目,目前很多方法安装k8s,但是多是单master多node的安装方式,但是kubeasz可以很方便的实现多主多从,用于实验真的很方便。项目的核心... 查看详情