Profilanwendbarkeit: Stufe 1 - Cluster / Steuerungsebene
Kubernetes stellt einen Standard-Namespace bereit, in dem Objekte platziert werden,
wenn kein Namespace für sie angegeben ist. Das Platzieren von Objekten in diesem Namespace
erschwert die Anwendung von RBAC und anderen Kontrollen.
Ressourcen in einem Kubernetes-Cluster sollten nach Namespace getrennt werden, um
Sicherheitskontrollen auf dieser Ebene anzuwenden und die Verwaltung der Ressourcen
zu erleichtern.
 |
HinweisSofern bei der Objekterstellung kein spezifischer Namensraum angegeben ist, wird der
Standard-Namensraum verwendet. |
Prüfung
Führen Sie diesen Befehl aus, um Objekte im Standard-Namespace aufzulisten:
kubectl get $(kubectl api-resources --verbs=list --namespaced=true -o name | paste -sd, -) --ignore-not-found -n default
Die einzigen Einträge dort sollten systemverwaltete Ressourcen wie der Kubernetes-Dienst
sein.
Oder:
kubectl get pods -n default
Rückgabe
Keine Ressourcen im Standard-Namespace gefunden.Wiederherstellung
Stellen Sie sicher, dass Namespaces erstellt werden, um eine angemessene Trennung
der Kubernetes-Ressourcen zu ermöglichen, und dass alle neuen Ressourcen in einem
bestimmten Namespace erstellt werden.