aquasec/kube-bench Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
aquasec/kube-bench自动构建
aquasec
此Docker镜像用于在主机上安装kube-bench Go应用程序。
17 次收藏下载次数: 0状态:自动构建维护者:aquasec仓库类型:镜像最近更新:24 天前
kube-bench Docker镜像文档
1. 镜像概述和主要用途
1.1 概述
kube-bench是一款基于CIS Kubernetes Benchmark的安全检查工具,用于验证Kubernetes集群是否按照安全最佳实践部署。该Docker镜像包含kube-bench的Go语言应用程序,可便捷地在主机或Kubernetes集群中运行,执行安全合规性检查。
1.2 主要用途
- 评估Kubernetes集群的安全配置是否符合CIS Kubernetes Benchmark标准
- 识别集群部署中的安全漏洞和不合规项
- 生成详细的安全检查报告,辅助安全审计与合规验证
2. 核心功能和特性
- 遵循CIS基准:严格实现CIS Kubernetes Benchmark中的安全检查项,确保测试结果与行业安全标准一致
- 灵活配置:测试用例通过YAML文件定义,便于随CIS基准更新或自定义检查规则
- 版本自适应:默认根据主机运行的Kubernetes版本自动选择匹配的CIS基准测试集
- 多环境支持:支持在Kubernetes集群内(作为Pod/Job)或直接通过Docker在主机上运行
- 轻量高效:基于Go语言开发,容器化部署,资源占用低,检查速度快
3. 使用场景和适用范围
3.1 适用场景
- Kubernetes集群安全审计:定期对生产/测试集群进行安全合规性检查
- 部署前验证:新集群部署或版本升级后,验证安全配置是否符合要求
- 合规性报告:满足内部安全政策或外部合规标准(如PCI-DSS、HIPAA)对Kubernetes安全的要求
- CI/CD集成:在部署流程中集成,确保代码和配置无安全隐患
3.2 适用范围
- Kubernetes集群(包括控制平面节点、工作节点)
- 支持的Kubernetes版本需参考CIS Kubernetes Benchmark版本映射(详见注意事项)
- 适用于需要符合CIS安全标准的组织或个人
4. 使用方法和配置说明
4.1 快速开始(Kubernetes集群内运行)
4.1.1 通过Job部署
kube-bench可作为Kubernetes Job运行,需挂载主机必要目录以访问配置文件和进程信息。执行以下命令部署官方提供的job.yaml:
bash# 应用Job配置 kubectl apply -f [***] # 查看Pod状态 kubectl get pods | grep kube-bench # 等待Pod状态变为Completed后,查看检查结果 kubectl logs <kube-bench-pod-name>
4.1.2 结果示例
日志输出按CIS基准章节组织,包含检查项状态及说明:
[INFO] 1 Master Node Security Configuration [INFO] 1.1 API Server [PASS] 1.1.1 Ensure that the --anonymous-auth flag is set to false (Automated) [FAIL] 1.1.2 Ensure that the --authorization-mode flag includes Node (Automated) ...
4.2 Docker直接运行(主机环境)
在非Kubernetes环境中,通过Docker直接在主机运行,需挂载主机PID命名空间和相关目录:
bashdocker run --rm \ --pid=host \ -v /var/lib/kubelet:/var/lib/kubelet \ -v /etc/kubernetes:/etc/kubernetes \ -v /etc/systemd:/etc/systemd \ -v /lib/systemd:/lib/systemd \ -v /srv/kubernetes:/srv/kubernetes \ aquasec/kube-bench
参数说明:
--pid=host:访问主机PID命名空间,用于检查运行中的进程-v:挂载主机目录,确保kube-bench能读取Kubernetes配置文件(如/etc/kubernetes)、系统服务配置(如/etc/systemd)等
4.3 配置参数
4.3.1 环境变量
K8S_VERSION:手动指定Kubernetes版本(如1.28),覆盖自动检测结果BENCHMARK_VERSION:指定CIS基准版本(如cis-1.8),需与Kubernetes版本兼容OUTPUT_FORMAT:指定输出格式,支持text(默认)、json、csv
示例:指定Kubernetes 1.28版本和JSON输出格式
bashdocker run --rm \ --pid=host \ -v /var/lib/kubelet:/var/lib/kubelet \ -v /etc/kubernetes:/etc/kubernetes \ -e K8S_VERSION=1.28 \ -e OUTPUT_FORMAT=json \ aquasec/kube-bench
4.3.2 自定义测试配置
通过挂载自定义YAML测试文件,修改或扩展检查项。将自定义配置目录挂载至容器/etc/kube-bench/cfg:
bashdocker run --rm \ --pid=host \ -v /var/lib/kubelet:/var/lib/kubelet \ -v /path/to/custom/cfg:/etc/kube-bench/cfg \ # 挂载自定义配置目录 aquasec/kube-bench
5. 注意事项
5.1 CIS基准与Kubernetes版本映射
kube-bench测试集依赖CIS Kubernetes Benchmark版本,二者并非与Kubernetes版本同步发布。具体映射关系参考CIS Kubernetes Benchmark支持文档。
5.2 问题反馈
- 若kube-bench未正确实现CIS基准测试项,可在kube-bench GitHub仓库提交issue
- 若对CIS基准本身有疑问,需通过CIS社区反馈
5.3 默认行为
kube-bench默认通过检测主机Kubernetes版本自动选择测试集。如需手动指定,可通过K8S_VERSION或BENCHMARK_VERSION环境变量覆盖。
6. 相关资源
- 官方GitHub仓库
- 完整使用文档
- CIS Kubernetes Benchmark官方文档
aquasec/trivy
aquasec
Trivy是一款一体化云原生安全扫描器
82 次收藏1亿+ 次下载
3 天前更新
aquasec/trivy-operator
aquasec
暂无描述
500万+ 次下载
4 天前更新
aquasec/starboard-operator
aquasec
暂无描述
2 次收藏500万+ 次下载
1 个月前更新
aquasec/trivy-db
aquasec
暂无描述
2 次收藏1000万+ 次下载
3 天前更新
aquasec/tfsec
aquasec
tfsec的Docker镜像,用于扫描Terraform代码以识别潜在安全隐患的安全检查工具。
2 次收藏100万+ 次下载
10 个月前更新
aquasec/aqua-scanner
aquasec
Aqua Security Trivy插件是为Aqua客户设计的高级安全工具,通过与Trivy集成提供增强的秘密扫描、静态应用安全测试(SAST)、可达性检查等功能,支持自定义安全策略和CI/CD集成,保护代码仓库安全。
1 次收藏100万+ 次下载
6 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"