Regelmäßig Systemsicherheitspatches auf K8s-Clustern?

Regelmäßig Systemsicherheitspatches auf K8s-Clustern?

Wir versuchen, eine Möglichkeit zu finden, regelmäßig Systemsicherheitspatches für unseren K8s-Cluster bereitzustellen, um unser System sicher zu halten und die Sicherheitsanforderungen zu erfüllen.

Unsere K8s-Cluster laufen in verschiedenen Clouds, AWS, Azure, Bare Metal usw.

Für Clouds können wir unser IAM-Image ändern, um es auf das neueste zu aktualisieren, das alte Image ersetzen, neue Knoten starten und die alten Knoten leeren. Für Bare-Metal-Knoten müssen wir die alten Knoten leeren, dann patchen und sie wieder hinzufügen.

Ich bin nicht sicher, ob es eine andere Möglichkeit gibt, das automatisch zu tun. Wir möchten diese Arbeit nicht jeden Monat in jeder Cloud erledigen. Vielleicht gibt es eine bessere Lösung?

Antwort1

Packer von HashiCorp ist ein kostenloses Tool zur Automatisierung der Erstellung von Maschinenabbildern.

Packer kann Maschinenabbilder für verschiedene Clouds erstellen, darunter AWS, Azure und selbst gehostete Virtualisierungsplattformen wie VMware.

Mit Packer können Sie veröffentlichte Referenzmaschinen nutzen (z. B. von Amazon veröffentlichte AMIs), die Installation von Patches, Updates und jeder benutzerdefinierten Konfiguration automatisieren, bevor Sie das gepatchte Image zur Nutzung wieder auf Ihrer Cloud-Plattform veröffentlichen.

Packer kann auch verwendet werden, um Standard-Konfigurationsmanagement-Tools in Cloud-Images zu integrieren. Führen Sie beispielsweise Ansible- oder Puppet-Läufe durch und/oder backen Sie die erforderliche Konfiguration ein, damit diese beim Start einer Instanz ausgeführt werden.

Terraform (kostenlos erhältlich), ebenfalls von HashiCorp, ermöglicht Ihnen die Automatisierung der Konfiguration von Computerplattformen wie AWS/Azure/VMware und ermöglicht Ihnen die automatische Aktualisierung der Konfiguration.

Wenn Sie das von Knoten in einem laufenden Kubernetes-Cluster verwendete AMI bereitstellen oder aktualisieren möchten, können Sie dies wahrscheinlich tun, indem Sie mit Terraform eine neue Startkonfiguration erstellen, die auf das neue von Packer erstellte Image verweist.

Sie könnten den Arbeitsaufwand möglicherweise reduzieren, indem Sie das Boot-Skript (Cloud-Init/Benutzerdaten) der Instanzgruppe so ändern, dass beim Booten so etwas wie ein „Yum-Update“ ausgeführt wird. Auf diese Weise könnten Sie die vorgefertigten Images verwenden und müssten bei jeder Veröffentlichung lediglich die AMI-ID auf die neueste Version aktualisieren. Dies könnte wahrscheinlich mit Terraform erfolgen.

verwandte Informationen