是否可以申请&；在托管Kubernetes群集（如Azure Kubernetes服务）上维护CIS基准合规性？_Kubernetes_Benchmarking_Azure Aks

是否可以申请&；在托管Kubernetes群集（如Azure Kubernetes服务）上维护CIS基准合规性？

kubernetes

是否可以申请&；在托管Kubernetes群集（如Azure Kubernetes服务）上维护CIS基准合规性？,kubernetes,benchmarking,azure-aks,Kubernetes,Benchmarking,Azure Aks,我在Azure公共云上有一个托管Kubernetes群集。我试图对节点进行一些更改，以满足CIS Benchmark Guide for Kubernetes提供的1主机合规性。然后我升级了一个节点的大小。主机遵从性再次失败。它已在该节点上重置。如何维护节点上的所有更改我在节点上进行了ssh，并在那里进行了更改。但在节点升级后，遵从性失败。您可以，但这是用于群集配置的关于节点本身的更改，我建议阅读 AKS集群部署在运行安全优化操作系统的主机虚拟机上。此主机操作系统当前基于Ubuntu 16.

我在Azure公共云上有一个托管Kubernetes群集。我试图对节点进行一些更改，以满足CIS Benchmark Guide for Kubernetes提供的1主机合规性。然后我升级了一个节点的大小。主机遵从性再次失败。它已在该节点上重置。如何维护节点上的所有更改

我在节点上进行了ssh，并在那里进行了更改。但在节点升级后，遵从性失败。

您可以，但这是用于群集配置的

关于节点本身的更改，我建议阅读

AKS集群部署在运行安全优化操作系统的主机虚拟机上。此主机操作系统当前基于Ubuntu 16.04.LTS映像，并应用了一组附加的安全强化步骤（请参阅安全强化详细信息）

增强安全性的主机操作系统的目标是减少攻击的表面区域，并允许以安全的方式部署容器

重要

强化安全性的操作系统未进行CIS基准测试。虽然与CIS基准存在重叠，但目标不是符合CIS。主机操作系统强化的目标是在与Microsoft自己的内部主机安全标准一致的安全级别上进行聚合

如果您需要进行任何更改，我建议您使用

kubeadm

手动设置您自己的集群。只需让虚拟服务器按照您的方式配置它们，并使用它们或任何其他适合您需要的指南。

为了符合CIS，您具体实施了哪些更改？我更改了与Docker Daemon和一些文件权限相关的几个标志，例如，我更改了/etc/kubernetes/pki的文件权限。主要是，我需要更改许多文件我认为，一旦节点从Azure端升级，权限将被重置。