Periodicamente, patches de segurança do sistema em clusters K8s?

Periodicamente, patches de segurança do sistema em clusters K8s?

Estamos tentando descobrir uma maneira de ter patches de segurança do sistema periodicamente para nosso cluster K8s, para manter nosso sistema seguro e atender aos requisitos de segurança.

nossos clusters K8s estão rodando em diferentes nuvens, AWS, Azure, Bare metal, etc.

para nuvens, podemos alterar nossa imagem IAM para atualizar para a mais recente, substituir a imagem antiga, lançar novos nós e drenar os nós antigos. Para bare metal, precisamos drenar os nós antigos, corrigir e adicioná-los novamente.

Não tenho certeza se existe alguma outra maneira de fazer isso automaticamente. não queremos fazer esse trabalho todo mês em cada nuvem. talvez haja uma solução melhor?

Responder1

Packer da HashiCorp é uma ferramenta gratuita para automatizar a criação de imagens de máquinas.

O Packer pode construir imagens de máquina para diferentes nuvens, incluindo AWS, Azure e plataformas de virtualização auto-hospedadas como VMware.

Usando o Packer, você pode consumir máquinas de referência publicadas (AMIs publicadas pela Amazon, por exemplo), automatizar a instalação de patches, atualizações e qualquer configuração personalizada, antes de publicar a imagem corrigida de volta em sua plataforma de nuvem, pronta para ser consumida.

O Packer também pode ser usado para propagar ferramentas de gerenciamento de configuração padrão em imagens de nuvem. Por exemplo, execute execuções ansible ou puppet e/ou prepare a configuração necessária para que sejam executadas quando uma instância for inicializada.

Terraform (disponível gratuitamente), também da HashiCorp, permite automatizar a configuração de plataformas de computação, como AWS/Azure/VMware, permitindo atualizar a configuração automaticamente.

Se você deseja implantar ou atualizar a AMI usada pelos nós em um cluster Kubernetes em execução, provavelmente poderá fazer isso criando uma nova configuração de inicialização apontando para a nova imagem construída pelo Packer, usando o Terraform.

Uma maneira de reduzir potencialmente a quantidade de trabalho é modificar o script de inicialização (dados de inicialização/usuário da nuvem) do grupo de instâncias, para executar algo como uma 'atualização do yum' na inicialização. Desta forma você poderá utilizar as imagens pré-fabricadas, bastando atualizar o AMI ID para a versão mais recente, cada vez que estas forem lançadas. Provavelmente isso poderia ser feito usando o Terraform.

informação relacionada