Исправления безопасности для узлов Kubernetes

Question

У меня есть доступ к кластеру kubernetes, построенному по принципу kops, на экземплярах AWS EC2.Я хотел бы убедиться, что все доступные исправления безопасности от соответствующего менеджера пакетов применены.К сожалению, просматривая весь интернет в течение многих часов, я не могу найти какой-либо ключ к пониманию того, как это должно быть сделано.Изучая пользовательские данные конфигураций запуска, я не нашел ни одной строки для диспетчера пакетов. Поэтому я не уверен, что простой перезапуск узла поможет, и я также хочу убедиться, что новые узлы соответствуют текущимпакеты.

Как сделать исправления безопасности на будущих узлах кластера kubernetes и как убедиться, что все узлы обновлены и остаются актуальными?

Answer 1

Возможно, вы захотите исследовать https://github.com/weaveworks/kured

Kured (KUbernetes REboot Daemon) - это демон Kubernetes, который выполняет безопасные автоматические перезагрузки узла, когда необходимость в этом указывается системой управления пакетами базовой ОС..

Следит за наличием сторожа перезагрузки, например, / var / run / reboot-required Использует блокировку на сервере API для обеспечения одновременной перезагрузки только одного узла. При желании откладывает перезагрузки при наличии активных предупреждений Прометея.или выбранные модули Cordons & дренируют рабочие узлы перед перезагрузкой, отменяя их после