KubeArmor介绍

KubeArmor是一个支持容器的运行时安全实施系统，它可以从系统级别限制容器的行为（如进程执行、文件访问、网络操作和资源利用率）。

KubeArmor使用Linux安全模块（LSM）运行，这意味着如果Linux内核中启用了Linux安全模块（例如AppArmor、SELinux或KRSI），它将可以在任何Linux平台（如Alpine、Ubuntu和Google的容器优化操作系统）上运行。KubeArmor将使用适当的LSM来执行所需的策略。

KubeArmor是为Kubernetes环境设计的，因此研究人员只需定义安全策略并将其应用于Kubernetes即可。接下来，KubeArmor将自动检测来自Kubernetes的安全策略更改，并将其强制执行到相应的容器中，而无需任何人为干预。

如果检测到了任何违反安全策略的行为，KubeArmor会立即生成具有容器标识的审核日志。如果研究人员还使用了其他日志记录系统，也会自动将审计日志发送至他们的系统中。

系统级别限制容器行为

在运行时对容器强制执行安全策略

生成支持容器的安全审计日志

为策略定义提供易于使用的语义

支持容器间的网络安全实施

KubeArmor目前支持自管理的Kubernetes和GoogleKubernetesEngine(GKE)，此后还将支持AmazonElasticKubernetesService(EKS)和AzureKubernetesService(AKS)。

根据你的环境，可以选择以下选项之一：

在自管理Kubernetes中部署KubeArmor（使用Docker）：

$cddeployments/generic-docker(generic-docker)$kubectlapply-f.

在自管理Kubernetes中部署KubeArmor（使用容器）：

$cddeployments/generic-containerd(generic-containerd)$kubectlapply-f.

在MicroK8中部署KubeArmor：

$cddeployments/microk8s(microk8s)$kubectlapply-f.

在GKE中部署KubeArmor：

$cddeployments/GKE(GKE)$kubectlapply-f.针对容器的安全策略定义

apiVersion:security.accuknox.