CNCF 发布 Kubernetes 策略管理白皮书

作者 | Mostafa Radwan

译者 | 明知山

策划 | 丁晓昀

CNCF 最近发布了一份关于 Kubernetes 策略管理的白皮书。白皮书强调了 Kubernetes 策略管理在集群安全和自动化以及工作负载方面的重要性，并对 Kubernetes 策略所解决的问题以及策略的正确实施进行了深入探讨。

白皮书为 Kubernetes 策略管理提供了一个参考架构，为基于策略的操作提供了指导，并强调了如何将策略映射到安全性的其他方面，如威胁建模、保证和事件响应。

白皮书介绍了来自 OASIS 的标准语言 XACML，这门语言用于定义策略语言、架构和处理模型。

图片由 CNCF 提供

此外，白皮书还展示了不同的 XACML 实体、它们之间的交互以及它们与 Kubernetes 策略管理的关系。这包括策略实施点（Policy Enforcement Point，PEP）、策略决策点（Policy Decision Point，PDP）、策略信息点（Policy Information Point，PIP）和策略管理点（Policy Administration Point，PAP）。

图片由 CNCF 提供

在这种架构中，PAP 创建可供 PDP 使用的策略或策略集。任何一个用户或系统请求都会被 PEP 拦截，PEP 与 PDP 发生交互并决定如何处理请求。PEP 有助于执行策略，确保 Kubernetes 工作负载和集群的当前状态与策略定义的预期状态是匹配的。然后 PDP 会告诉 PEP 应该如何继续。换句话说，就是允许或拒绝请求。

此外，白皮书强调，Kubernetes 策略管理适用于容器的所有四个生命周期阶段：开发、分发、部署和运行时（CNCF 安全特别兴趣组 SIG 在云原生安全白皮书中所述），特别是在涉及容器镜像和 Kubernetes 配置时。

在这个模型中，Kubernetes 策略是软件交付管道的一部分，也被称为策略即代码（Policy as Code，PaC）。

白皮书提到，通过将 Kubernetes 策略映射到其他安全功能（如安全保证和合规性），策略将云原生组织中的操作和其他安全领域连接在一起。

白皮书指出，在动态云原生环境中有必要采用一种整体的安全保障方法来解决独特的安全需求。

这包括为平台和工作负载开发威胁模型，将安全性纳入到软件交付管道中，以及检测违反策略的行为，特别是在运行时。

此外，白皮书强调了 Kubernetes 托管的策略在自动化合规性控制和遵守监管标准（如 PCI、NIST 800-30、HIPAA 等）方面起到的作用。为此，我们可以通过策略将文档化的合规性目标与集群、工作负载或运行时级别的技术控制联系起来。

白皮书作者的目标是通过采用基于策略的操作帮助组织实现更安全、更合规的目标。

白皮书专注于策略管理，相关项目和工具的清单可以在 CNCF Cloud Native Interactive Landscape 中找到。

用户可以加入 Kubernetes 策略工作组，并提出和讨论想法，或通过电子邮件 wg-policy@googlegroups.com 或 Slack 频道联系相关人员。

原文链接：

https://www.infoq.com/news/2022/07/cncf-policy-management/

推荐阅读

• 是什么让Redis“气急败坏”回击：13年来，总有人想替Redis换套新架构！
  
• IntelliJ项目迁移到Java 17！2022.3 版本开始必须Java 17！
  
• 微软出手，拯救“四分五裂”的Markdown！
  

你好，我是程序猿DD，10年开发老司机、阿里云MVP、腾讯云TVP、出过书创过业、国企4年互联网6年。从普通开发到架构师、再到合伙人。一路过来，给我最深的感受就是一定要不断学习并关注前沿。只要你能坚持下来，多思考、少抱怨、勤动手，就很容易实现弯道超车！所以，不要问我现在干什么是否来得及。如果你看好一个事情，一定是坚持了才能看到希望，而不是看到希望才去坚持。相信我，只要坚持下来，你一定比现在更好！如果你还没什么方向，可以先关注我，这里会经常分享一些前沿资讯，帮你积累弯道超车的资本。