zh/2.8 fix header levels

2026-05-04 20:23:24 +00:00 · 2024-09-18 22:10:20 -07:00
parent 9b42a00a10
commit 8c8ec320c2
125 changed files with 522 additions and 503 deletions
@@ -2,7 +2,7 @@
 title: Kubernetes 安全最佳实践
 ---

-### 限制云元数据 API 访问
+## 限制云元数据 API 访问

 AWS、Azure、DigitalOcean 或 GCP 等云提供商通常会在本地向实例公开元数据服务。默认情况下，此端点可被运行在云实例上的 pod 访问，包括在托管的 Kubernetes（如 EKS、AKS、DigitalOcean Kubernetes 或 GKE）中的 pod，并且可以包含该节点的云凭证、配置数据（如 kubelet 凭证）以及其他敏感数据。为了降低在云平台上运行的这种风险，请遵循 [Kubernetes 安全建议](https://kubernetes.io/docs/tasks/administer-cluster/securing-a-cluster/#restricting-cloud-metadata-api-access)，即限制授予实例凭证的权限，使用网络策略限制 pod 对元数据 API 的访问，并避免使用配置数据来传递密文。

@@ -6,7 +6,7 @@ title: Rancher 安全最佳实践
  <link rel="canonical" href="https://ranchermanager.docs.rancher.com/zh/reference-guides/rancher-security/rancher-security-best-practices"/>
 </head>

-### 限制对 /version 和 /rancherversion 的公共访问
+## 限制对 /version 和 /rancherversion 的公共访问

 上游（本地） Rancher 实例提供正在运行的 Rancher 版本和用于构建它的 Go 版本信息。这些信息可以通过 `/version` 路径访问，该路径用于诸如自动化版本升级或确认部署成功等任务。上游实例还提供了可通过 `/rancherversion` 路径访问的 Rancher 版本信息。

@@ -14,7 +14,7 @@ title: Rancher 安全最佳实践

 更多关于保护服务器的详细信息，请参阅 [OWASP Web Application Security Testing - Enumerate Infrastructure and Application Admin Interfaces](https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/05-Enumerate_Infrastructure_and_Application_Admin_Interfaces.html)。

-### 会话管理
+## 会话管理

 某些环境可能需要额外的安全控制来管理会话。例如，你可能希望限制用户的并发活动会话或限制可以从哪些地理位置发起这些会话。Rancher 默认情况下不支持这些功能。

@@ -27,11 +27,11 @@ title: 安全

 本文介绍了安全相关的文档以及资源，让你的 Rancher 安装和下游 Kubernetes 集群更加安全。

-### NeuVector 与 Rancher 的集成
+## NeuVector 与 Rancher 的集成

 NeuVector 是一个开源的、以容器为中心的安全应用程序，现已集成到 Rancher 中。NeuVector 提供生产安全、DevOps 漏洞保护和容器防火墙等功能。请参阅 [Rancher 文档](../../integrations-in-rancher/neuvector/neuvector.md) 和 [NeuVector 文档](https://open-docs.neuvector.com/)了解更多信息。

-### 在 Kubernetes 集群上运行 CIS 安全扫描
+## 在 Kubernetes 集群上运行 CIS 安全扫描

 Rancher 使用 [kube-bench](https://github.com/aquasecurity/kube-bench) 来运行安全扫描，从而检查 Kubernetes 是否按照 [CIS](https://www.cisecurity.org/cis-benchmarks/)（Center for Internet Security，互联网安全中心）Kubernetes Benchmark 中定义的安全最佳实践进行部署。

@@ -47,13 +47,13 @@ Rancher 在集群上运行 CIS 安全扫描时会生成一份报告，该报告

 有关详细信息，请参阅[安全扫描](../../how-to-guides/advanced-user-guides/cis-scan-guides/cis-scan-guides.md)。

-### SELinux RPM
+## SELinux RPM

 [安全增强型 Linux (SELinux)](https://en.wikipedia.org/wiki/Security-Enhanced_Linux) 是对 Linux 的安全增强。被政府机构使用之后，SELinux 已成为行业标准，并在 CentOS 7 和 8 上默认启用。

 我们提供了 `rancher-selinux` 和 `rke2-selinux` 两个 RPM（Red Hat 软件包），让 Rancher 产品能够在 SELinux 主机上正常运行。有关详细信息，请参阅[此页面](selinux-rpm/selinux-rpm.md)。

-### Rancher 加固指南
+## Rancher 加固指南

 Rancher 加固指南基于 <a href="https://www.cisecurity.org/benchmark/kubernetes/" target="_blank">CIS Kubernetes Benchmark</a>。

@@ -63,7 +63,7 @@ Rancher 加固指南基于 <a href="https://www.cisecurity.org/benchmark/kuberne

 每个加固指南版本都针对特定的 CIS Kubernetes Benchmark、Kubernetes 和 Rancher 版本。

-### CIS Benchmark 和自我评估
+## CIS Benchmark 和自我评估

 Benchmark 自我评估是 Rancher 安全加固指南的辅助。加固指南展示了如何加固集群，而 Benchmark 指南旨在帮助你评估加固集群的安全级别。

@@ -71,7 +71,7 @@ Benchmark 自我评估是 Rancher 安全加固指南的辅助。加固指南展

 Rancher 自我评估指南的每个版本都对应于强化指南、Rancher、Kubernetes 和 CIS Benchmark 的特定版本。

-### 第三方渗透测试报告
+## 第三方渗透测试报告

 Rancher 会定期聘请第三方对 Rancher 软件栈进行安全审计和渗透测试。被测环境遵循 Rancher 在测试时提供的强化指南。以前的渗透测试报告如下。

@@ -82,14 +82,14 @@ Rancher 会定期聘请第三方对 Rancher 软件栈进行安全审计和渗透

 请注意，新报告不再共享或公开发布。

-### Rancher 安全公告和 CVE
+## Rancher 安全公告和 CVE

 Rancher 致力于向社区通报我们产品中的安全问题。有关我们已解决的问题的 CVE（常见漏洞和暴露）列表，请参阅[此页](security-advisories-and-cves.md)。

-### Kubernetes 安全最佳实践
+## Kubernetes 安全最佳实践

 有关保护 Kubernetes 集群的建议，请参阅 [Kubernetes 安全最佳实践](kubernetes-security-best-practices.md)指南。

-### Rancher 安全最佳实践
+## Rancher 安全最佳实践

 有关保护 Rancher Manager 部署的建议，请参阅 [Rancher 安全最佳实践](rancher-security-best-practices.md)指南。