1.简介

HummerRisk 是开源的云原生安全平台，以非侵入的方式解决云原生的安全和治理问题。核心能力包括混合云的安全治理和云原生安全检测。

今天我们来通过 HummerRisk 云原生安全检测能力来对Kubernetes进行安全合规检测

2.检测步骤

①首先创建一个Kubernetes账户, 进入『云原生安全』->『K8s检测』，点击创建Kubernetes，填写Kubernetes APIServer地址和Token即可完成Kubernetes 集群绑定

图 1K8s 集群账户创建

②选择需要进行检测的Kubernetes集群，执行检测

图 2 对 Kubernetes 执行检测

③等待检测完成后，查看合规检测结果：

图 3查看合规检测结果

3.检测结果分析

v这里我们使用 kubectl create deployment nginx-demo --image=nginx创建了一个“轻量化”的nginx应用，资源类型是 deployment

通过检测结果，我们可以看到很多不合规的规则条目，以“K8spod内存大小限制检测”为例，当前是“不合规”状态，点击进入查看详情，可以看到我们创建的nginx应用是不合规的。

图 4 选择规则条目

图 5 查找创建的 nginx 应用

4.问题修复处理

v可以看到当前创建的nginx资源在“K8s pod 内存大小限制检测”规则条目中，是高风险状态，现在我们需要来修复这个

图 6 查看风险条例

①　操作之前，我们来查看创建的nginx应用，命令为： kubectl edit deployment nginx-demo，可以看到当前resources没有做任何配置

图 7 资源查看

②　对当前应用配置资源限制，命令为：kubectleditdeploymentnginx

图 8 应用资源修改

 resources:
      requests:
        memory: "64Mi"
        cpu: "250m"
      limits:
        memory: "128Mi"
        cpu: "500m"

③　修改完成后，验证配置是否生效，正常pod也会重新创建

图 9 验证

5.验证

重复步骤2，我们对Kubernetes集群再次进行安全检测，然后进入合规检测统计，查找nginx应用是否还存在“K8s pod 内存大小限制检测”问题。可以看到当前此问题不再复现，可以说明该问题已经修复。