DevOps 技術筆記

雲原生實戰分享 | 自動化部署最佳實踐
2024年1月15日 | 閱讀時間: 8 分鐘

Kubernetes 叢集安全加固最佳實踐

Kubernetes Security DevOps

在雲原生時代,Kubernetes 已成為容器編排的事實標準。然而,預設配置的 K8s 叢集往往存在安全隱患。本文將分享生產環境中的 K8s 安全加固經驗。

一、API Server 安全配置

API Server 是 K8s 的控制中心,也是攻擊者的主要目標。建議採取以下措施:

  • 啟用 RBAC(Role-Based Access Control)
  • 禁用匿名訪問和未授權端點
  • 使用 TLS 證書加密通訊
  • 限制 API Server 的網路訪問

二、Pod 安全策略

使用 Pod Security Policy(或 Pod Security Standards)限制容器特權:

# 限制容器以 root 用戶運行
securityContext:
  runAsNonRoot: true
  runAsUser: 1000
  fsGroup: 1000

# 禁止特權容器
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true

三、網路隔離

使用 Network Policy 實現微隔離,確保 Pod 之間的最小權限通訊:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

四、映像檔安全

掃描容器映像漏洞,僅使用官方或受信任的映像來源:

  • 使用 Trivy 掃描漏洞
  • 設定映像簽名驗證(cosign)
  • 定期更新基礎映像

五、監控與審計

部署 Falco 進行執行時安全監控,啟用審計日誌追蹤所有 API 請求:

# Falco 規則示例
- rule: Shell in container
  desc: A shell was spawned in a container
  condition: >
    spawned_process
    and container
    and shell_procs
    and not user_expected_shell_spawned_processes

安全是一個持續的過程,而非一次性配置。定期進行安全評估和滲透測試,才能確保叢集的安全性。

2024年1月8日 | 閱讀時間: 6 分鐘

Nginx 反向代理性能優化實戰

Nginx Performance Linux

Nginx 是高效能的 Web 伺服器和反向代理,正確的調優可以顯著提升吞吐量。以下是生產環境的優化配置。

一、Worker Process 調優

# 設置為 CPU 核心數
worker_processes auto;
worker_cpu_affinity auto;

# 增加連接數
worker_connections 4096;
multi_accept on;

二、Keep-Alive 優化

keepalive_timeout 65;
keepalive_requests 1000;

# Upstream keepalive
upstream backend {
    server 10.0.0.1:8080;
    keepalive 32;
    keepalive_requests 100;
    keepalive_timeout 60s;
}

三、緩衝區優化

client_body_buffer_size 128k;
client_max_body_size 10m;
client_header_buffer_size 1k;
large_client_header_buffers 4 4k;
output_buffers 1 32k;
postpone_output 1460;

四、啟用 HTTP/2

HTTP/2 帶來多路復用、頭部壓縮等性能提升:

listen 443 ssl http2;
ssl_protocols TLSv1.2 TLSv1.3;

五、Gzip 壓縮

gzip on;
gzip_vary on;
gzip_min_length 1024;
gzip_types text/plain text/css application/json application/javascript;

優化後,QPS 從 5000 提升至 12000+,延遲降低 40%。監控是關鍵,建議使用 Prometheus + Grafana 追蹤指標。

2024年1月3日 | 閱讀時間: 5 分鐘

Linux 伺服器基礎安全配置

Linux Security Ubuntu

新伺服器上線後的第一要務是安全加固。以下是基于 Ubuntu 22.04 的基礎安全清單。

一、SSH 安全配置

編輯 /etc/ssh/sshd_config

# 禁止 root 登入
PermitRootLogin no

# 僅允許特定用戶
AllowUsers your-username

# 使用金鑰認證
PasswordAuthentication no

# 修改默認端口
Port 22222

二、配置防火牆

使用 UFW 配置防火牆規則:

# 默認拒絕所有入站
sudo ufw default deny incoming

# 允許 SSH
sudo ufw allow 22222/tcp

# 允許 HTTP/HTTPS
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# 啟用防火牆
sudo ufw enable

三、安裝 Fail2Ban

防禦暴力破解攻擊:

sudo apt install fail2ban

# 配置 /etc/fail2ban/jail.local
[sshd]
enabled = true
maxretry = 3
bantime = 3600

四、系統更新

sudo apt update
sudo apt upgrade -y
sudo apt autoremove -y

五、配置自動安全更新

sudo apt install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades

完成這些配置後,伺服器的安全基線已達到生產環境要求。建議定期檢查 /var/log/auth.log 監控可疑活動。