Kubernetes lernen und verstehen, Teil 5: Sicherheitskonzepte einsetzen

Bevor man man als Einsteiger mit den ersten produktiven Anwendungen beginnt, sollte man sich vorher mit der Sicherheit von Cluster und Anwendern beschäftigen.

Artikel verschenken

1

(Bild: Albert Hulm)

06.01.2023, 14:00 Uhr

Lesezeit: 18 Min.

c't Magazin

Von

Jan Mahn

Kubernetes lernen und verstehen, Teil 5: Sicherheitskonzepte einsetzen
- Traefik mit Speicher
Verkehrssteuerung
Rechte verwalten
Benutzer backen
Zwischenfazit

Artikel in c't 3/2023 lesen

Geschafft – in den ersten vier Teilen dieser Reihe haben wir Sie auf dem Weg vom Docker-Nutzer zum Kubernetes-Cluster-Betreiber begleitet und als Beispiel Schritt für Schritt eine WordPress-Instanz zusammengebaut. Bevor Sie das Wissen auf eigene Projekte anwenden, sollten Sie aber noch ein paar Sicherheitskonzepte kennenlernen und gleich von Anfang an einsetzen – das ist immer erfolgversprechender, als Security nachträglich an eine fertige Anwendung dranzubasteln. In diesem Artikel lernen Sie, wie Sie Ihren Cluster in drei Schritten sicherer machen: mit Transportverschlüsselung, Netzwerkregeln für Pods und Zugriffsberechtigungen für Admins.

Am Ende des vierten Teils dieser Reihe meldete sich eine WordPress-Instanz auf Port 80 per HTTP. Vor 15 Jahren hätte man damit noch Benutzer und Admins begeistern können, heute fehlt ein entscheidendes Detail: HTTPS mit einem gültigen Zertifikat, das von einer vertrauenswürdigen Stammzertifizierungsstelle stammt und dem die Browser vertrauen. Das muss man heute nicht mehr kaufen, Let’s Encrypt liefert es kostenlos und der HTTP-Router Traefik, den Sie im Laufe der Reihe schon installiert haben, beschafft Zertifikate von diesem Anbieter und verlängert sie automatisch.

Die erste Aufgabe, um diese Beschaffung einzurichten, hat nichts mit Kubernetes zu tun. Damit Sie ein Zertifikat bekommen können, müssen Sie einen A- und optional einen AAAA-DNS-Eintrag für eine Domain oder eine Subdomain setzen, der auf eine beliebige, externe IP-Adresse Ihres Clusters verweist. Erledigen Sie diese Aufgabe am besten mit etwas zeitlichem Abstand, damit sich der Eintrag in allen DNS-Caches herumspricht. Danach können Sie sich an die Vorbereitungen im Cluster machen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Da ihre Vorgängerin nur in geringen Stückzahlen erhältlich war, sind viele Fotografen gespannt auf die neue Edelkompakte Fujifilm X100VI.

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Daten transportieren oder Backups erstellen klappt mit modernen Flash-Medien ratzfatz. Wem eine USB-SSD zu groß ist, der greift zum Stick.

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Wir zeigen, welche Smart-Home-Lösung sich für wen lohnt: Amazons Echo Hub für 200 Euro oder die kostenlose Smart-Home-Software Home Assistant.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Wir zeigen, wie Sie Proxmox aufsetzen, virtuelle Maschinen erstellen oder bestehende importieren und was man beachten muss, um es produktiv zu nutzen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Da ihre Vorgängerin nur in geringen Stückzahlen erhältlich war, sind viele Fotografen gespannt auf die neue Edelkompakte Fujifilm X100VI.

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Daten transportieren oder Backups erstellen klappt mit modernen Flash-Medien ratzfatz. Wem eine USB-SSD zu groß ist, der greift zum Stick.

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Wir zeigen, welche Smart-Home-Lösung sich für wen lohnt: Amazons Echo Hub für 200 Euro oder die kostenlose Smart-Home-Software Home Assistant.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Wir zeigen, wie Sie Proxmox aufsetzen, virtuelle Maschinen erstellen oder bestehende importieren und was man beachten muss, um es produktiv zu nutzen.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Kubernetes lernen und verstehen, Teil 5: Sicherheitskonzepte einsetzen

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.