如何使用KubeLinter保护Kubernetes

KubeLinter是Stackrox发布的一个开源项目，用于分析Kubernetes YAML文件中的安全问题和错误代码。该工具涵盖Helm图表和Kubernetes配置文件，包括Knative文件。使用KubeLinter可以改进云原生开发、缩短开发时间并鼓励DevOps最 佳实践。

其中一些常见示例包括：以非root用户身份运行容器、强制执行最低权限，以及仅将敏感信息存储在机密中。KubeLinter已经拿到Apache2.0开源许可证，允许您根据许可证条款使用、修改和分发它。

为什么选择KubeLinter?

KubeLinter带有合理的默认检查，但它也是可配置的。您可以根据组织的策略灵活地启用或禁用特定检查。此外，您还可以创建自己的自定义检查来执行特定要求。

当lint检查失败时，KubeLinter会提供关于如何解决已识别问题的建议。它还返回一个非零退出代码，以表明潜在问题的存在。

安装、设置和入门

要开始使用KubeLinter，您可以参考官方文档。该文档提供了有关安装、使用和配置KubeLinter的详细信息。

以下是KubeLinter的一些安装选项。

使用Go语言

通过运行以下命令使用Go安装KubeLinter：

使用Homebrew(macOS)或LinuxBrew(Linux)

通过运行以下命令，使用Homebrew或LinuxBrew安装KubeLinter：

从源代码构建

如果您更喜欢从源代码构建KubeLinter，请按照以下步骤操作：

克隆KubeLinter资源库：

编译源代码以创建kube-linter二进制文件：

通过检查版本来验证安装：

KubeLinter提供不同层次的测试，包括go单元测试、端到端集成测试和使用bats-core的端到端集成测试。您可以运行这些测试，以确保KubeLinter的正确性和可靠性。

如何使用KubeLinter

要使用KubeLinter，您可以先在本地YAML文件运行它。只需指定要测试的YAML文件的路径，KubeLinter就会执行lint检查。例如：

KubeLinter的输出将显示任何检测到的问题，以及建议的修复步骤。它还将提供发现lint错误的摘要。

您可以选择在本地运行KubeLinter或将其集成到您的CI系统中。以下是在本地运行KubeLinter的说明：

安装KubeLinter后，您可以使用lint命令，并提供Kubernetes YAML文件或包含YAML文件的目录的路径。

对于单个YAML文件：

对于包含YAML文件的目录：

要使用KubeLinter进行本地YAML检查，请按照以下步骤操作：

1.找到您要测试的YAML文件，以了解其安全性和生产准备情况。

2.运行以下命令，用YAML文件的实际路径替换/path/to/your/yaml.yaml。格式如下：

以下是使用名为pod.yaml的规范文件示例，该文件存在生产就绪性和安全问题：

将上面的YAML内容保存到一个名为lint-pod.yaml的文件中。然后，您可以通过运行以下命令来检查此文件：

KubeLinter将运行默认检查，并根据检查结果报告提供建议。在上面的例子中，输出将显示三个lint错误：

要在本地为Helm图表运行KubeLinter，您需要提供包含chart.yaml文件目录的路径。以下是为Helm图表运行KubeLinter的命令：

您也可以使用--format选项来指定输出格式。例如，使用-format=json指定JSON格式，或使用-format=sarif指定SARIF格式。

如果您使用pre-commit框架管理Git预提交钩子，您可以将KubeLinter集成为预提交钩子。将以下配置添加到您的.pre-commit-config.yaml文件中：

此配置设置了kube-linter hook，该钩子使用go get在本地克隆、构建和安装KubeLinter。

KubeLinter为不同的操作提供了额外的命令和选项。以下是运行KubeLinter命令的通用语法。

kube-linter[资源] [命令] [选项]

resource.指定您要执行操作的资源，例如检查或模板。

command.指定您要执行的操作，例如lint或检查列表。

options.为每个命令指定其他选项。例如，您可以使用-c或--config选项来指定配置文件。

要查看可用资源、命令和选项的完整列表，您可以使用--help或-h选项。

查找所有资源：

查找特定资源的可用命令，例如检查：

查找特定命令的可用选项，例如lint：

要配置KubeLinter运行的检查或创建自己的自定义检查，您可以使用YAML配置文件。当运行lint命令时，您可以提供-config选项，后面跟着配置文件的路径。

如果没有明确提供配置文件，KubeLinter将按偏好顺序在当前工作目录中查找具有以下文件名的配置文件：

如果这些文件都没有找到，KubeLinter将使用默认配置。

以下是如何使用特定配置文件运行lint命令的示例：

kube-linter lint pod.yaml –config kubelinter-config.yaml

配置文件有两个主要部分

1.customChecks用于配置自定义检查。

2.checks 用于配置默认检查。

要查看所有内置检查的列表，您可以参考KubeLinter检查文档。

以下是一些您可以在配置文件中使用的一些配置选项。

禁用所有默认检查。您可以通过在检查部分将doNotAutoAddDefaults设置为true来禁用所有内置检查。

运行所有默认检查。您可以通过在检查部分将addAllBuiltIn设置为true来运行所有内置检查。

运行自定义检查。您可以根据现有模板创建自定义检查。文档中的每个模板描述都包含有关该模板可使用的参数的详细信息。这里有一个例子。

这些是KubeLinter中可用的一些配置选项。您可以参考KubeLinter文档了解更多关于配置和定制的详细信息。

结论

KubeLinter是一个alpha版本，这意味着它仍处于早期开发阶段。因此，在命令使用、标志和配置文件格式方面，未来可能会有突破性的变化。然而，我们鼓励您使用KubeLinter来测试YAML文件，识别问题，并为其开发做出贡献。