配置檔適用性:級別 1
Kubernetes 提供了一個預設的命名空間,當未為物件指定命名空間時,物件將被放置在此命名空間中。將物件放置在此命名空間會使 RBAC 和其他控制措施的應用變得更加困難。
在 Kubernetes 集群中,資源應該按命名空間進行隔離,以便在該層級應用安全控制並簡化資源管理。
 |
注意除非在物件創建時指定命名空間,否則將使用
預設命名空間。 |
審計
選項 1
執行此命令以列出預設命名空間中的物件:
kubectl get $(kubectl api-resources --verbs=list --namespaced=true -o name | paste -sd, -) --ignore-not-found -n default
該處唯一的條目應為系統管理的資源,例如
kubernetes 服務。選項 2
kubectl get pods -n default
返回
在預設命名空間中未找到資源。補救
確保創建命名空間,以便適當地隔離 Kubernetes 資源,並且所有新資源都在特定命名空間中創建。