



-
確保宿主機是安全並且被正確配置。其中一個方法就是通過CIS基準測試去檢查你的配置檔案,許多產品都有自動化檢查器,可以自動評估是否符合標準。
-
控制敏感ports網絡的權限。 確保您的網絡阻止了kubelet使用端口訪問,包括10250和10255。考慮限制除了信任的網絡以外的網絡對Kubernates API的訪問權限。惡意用戶濫用這些端口在集群中來運行加密貨幣挖礦程式,這些集群沒有配置為需要kubelet API服務上的身份認證和授權。
-
最小化Kubernetes節點的管理員權限。訪問集群中的節點權限應該嚴格被控制,debugging和其他任務通常不需要獲取節點的權限就可以運行。