솔루션(단계별):
1. 기본 서비스 계정의 권한을 식별합니다.
세게 때리다

2. 새롭고 제한된 서비스 계정을 만듭니다. 애플리케이션에 필요한 권한만 있는 서비스 계정을 정의합니다.

3. 새 서비스 계정에 대한 역할과 Role8inding을 만듭니다. 새 서비스 계정에 필요한 권한만 부여합니다.

해결책(단계별) :
1. 네트워크 정책 생성: 허용되는 통신을 정의하기 위해 'monitoring-access.yaml'이라는 이름의 NetworkPolicy YAML 파일을 생성합니다.

- 이 정책은 'monitoring' 네임스페이스 내의 포드에서만 'api-server' 네임스페이스로의 인그레스 트래픽을 허용합니다.2. 네트워크 정책 적용: 'kubectr'을 사용하여 NetworkPolicy를 적용합니다.bash kubectl apply -f monitoring-access-yaml 3. 네트워크 정책 확인: NetworkPolicy가 적용되었는지 확인합니다.bash kubectl get networkpolicies -n api-server 4. 액세스 테스트: 'monitoring' 네임스페이스의 포드에서 'api-server' 네임스페이스의 포드로 통신을 시도합니다.이 통신은 허용되어야 합니다.다른 네임스페이스의 포드에서 'api-server' 네임스페이스의 포드로 통신을 시도합니다.이 통신은 차단되어야 합니다.이 네트워크 정책은 'api-server' 네임스페이스로의 인그레스 트래픽을 제한합니다.이는 'monitoring' 네임스페이스 내의 포드에서만 연결을 허용하여 이러한 네임스페이스 간에 제어된 액세스 정책을 효과적으로 시행합니다.

API 서버에서 발견된 다음 위반 사항을 모두 수정하세요. a. RotateKubeletServerCertificate 인수가 true로 설정되어 있는지 확인하세요.
api 버전: v1
종류: 포드
메타데이터:
creationTimestamp: null
라벨:
구성 요소: kubelet
계층: 제어 평면
이름: kubelet
네임스페이스: kube-system
투기:
컨테이너:
- 명령:
- kube-controller-manager
+ - --feature-gates=RotateKubeletServerCertificate=true
이미지: gcr.io/google_containers/kubelet-amd64:v1.6.0
라이브니스 프로브:
실패 임계값: 8
httpGet:
호스트: 127.0.0.1
경로: /healthz
포트: 6443
스키마: HTTPS
초기 지연 초: 15
시간 초과 초: 15
이름: kubelet
자원:
요청:
CPU: 250m
볼륨마운트:
- 마운트 경로: /etc/kubernetes/
이름: k8s
읽기 전용: 참
- 마운트 경로: /etc/ssl/certs
이름: 인증서
- mountPath: /etc/pki
이름: pki
호스트 네트워크: true
볼륨:
- 호스트 경로:
경로: /etc/kubernetes
이름: k8s
- 호스트 경로:
경로: /etc/ssl/certs
이름: 인증서
- 호스트 경로:
경로: /etc/pki
이름: pki
b. 입장 제어 플러그인 PodSecurityPolicy가 설정되어 있는지 확인하세요.
감사: "/bin/ps -ef | grep $apiserverbin | grep -v grep"
테스트:
테스트_항목:
- 플래그: "--enable-admission-plugins"
비교하다:
op: 있다
값: "PodSecurityPolicy"
설정: 참
교정: |
설명서를 따르고 환경에 맞게 Pod 보안 정책 객체를 생성하세요.
그런 다음 API 서버 Pod 사양 파일 $apiserverconf를 편집합니다.
마스터 노드에서 --enable-admission-plugins 매개변수를 PodSecurityPolicy를 포함하는 값으로 설정합니다.
--enable-admission-plugins=...,PodSecurityPolicy,...
그런 다음 API 서버를 다시 시작합니다.
득점: 참
c. --kubelet-certificate-authority 인수가 적절하게 설정되었는지 확인하세요.
감사: "/bin/ps -ef | grep $apiserverbin | grep -v grep"
테스트:
테스트_항목:
- 플래그: "--kubelet-certificate-authority"
설정: 참
교정: |
쿠버네티스 설명서를 따라 apiserver와 kubelets 간의 TLS 연결을 설정하세요. 그런 다음 API 서버 Pod 사양 파일을 편집하세요.
마스터 노드에서 $apiserverconf를 설정하고 --kubelet-certificate-authority 매개변수를 인증 기관의 인증서 파일 경로로 설정합니다.
--kubelet-인증서-기관=<ca-문자열>
득점: 참
ETCD에서 발견된 다음 위반 사항을 모두 수정하세요.
a. --auto-tls 인수가 true로 설정되지 않았는지 확인하십시오.
마스터에서 etcd pod 사양 파일 $etcdconf를 편집합니다.
노드를 만들고 --auto-tls 매개변수를 제거하거나 false로 설정합니다.
--자동-tls=거짓
b. --peer-auto-tls 인수가 true로 설정되지 않았는지 확인하십시오.
마스터에서 etcd pod 사양 파일 $etcdconf를 편집합니다.
노드를 만들고 --peer-auto-tls 매개변수를 제거하거나 false로 설정합니다.
--peer-auto-tls=거짓

해결책(단계별) :
1. 네트워크 정책 만들기:
- 'my-app' 배포를 타겟으로 하는 'podSeIector'를 사용하여 NetworkPoIicy 리소스를 정의합니다.
- 허용된 IP 주소에서 트래픽을 허용하는 '수신' 규칙을 지정합니다.
- '발신' 필드를 사용하여 소스 IP 주소를 지정하세요. 개별 IP 주소 또는 CIDR 범위를 제공할 수 있습니다.
- '포트' 필드에 포트 8080이 허용되는지 확인하세요.

2. 네트워크 정책 적용: - 'kubectl apply -f my-app-network-policy.yamr'을 사용하여 YAML 파일을 적용합니다. 3. 네트워크 정책을 확인합니다. - 'kubectl get networkpolicies'를 사용하여 사용 가능한 네트워크 정책을 나열합니다. - kubectl describe networkpolicy my-app-network-policy'를 사용하여 적용된 정책의 세부 정보를 봅니다. 4. 네트워크 정책을 테스트합니다. - 허용된 IP 주소에서 API 엔드포인트에 액세스를 시도하고 연결이 성공하는지 확인합니다. - 차단된 IP 주소에서 API 엔드포인트에 액세스를 시도하고 연결이 거부되는지 확인합니다.