kubearmor/kubearmor Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

KubeArmor 是一款云原生运行时安全执行系统，旨在通过系统级策略限制容器、Pod 及节点（VM）的行为，提供细粒度的运行时安全防护。其核心目标是增强云原生环境的安全性，防止未授权操作和异常行为。

核心功能

• 系统级行为限制：精确管控进程执行、文件访问（读/写/执行权限）、网络操作（端口、协议、连接方向）等关键系统行为。
• 多 LSM 支持：兼容主流 Linux 安全模块（LSMs），包括 AppArmor、SELinux 及 BPF-LSM，可根据环境灵活选择执行引擎。
• eBPF 遥测能力：通过 eBPF 技术实时收集容器、Pod、命名空间等身份信息，生成丰富的安全警报与行为遥测事件，支持审计与溯源。

技术实现

KubeArmor 采用策略驱动架构，用户定义的安全策略经控制器解析后，通过 LSM 接口注入内核层执行，实现强制访问控制（MAC）。同时，eBPF 程序持续监控系统调用与资源访问，将事件与 Kubernetes 身份元数据（如 Pod 名称、命名空间）关联，确保事件可精准追溯至具体工作负载。

使用场景

• 云原生环境安全加固：保护 Kubernetes 集群中微服务、有状态应用免受运行时***（如***代码执行、敏感文件篡改、未授权网络连接）。
• 微服务行为管控：定义最小权限策略，限制容器仅执行必要操作（如指定二进制路径、只读文件系统），降低***面。
• 合规审计与事件响应：通过遥测事件记录容器全生命周期行为，满足 GDPR、PCI-DSS 等合规要求，支持安全事件快速定位与分析。

部署示例

在 Kubernetes 集群中部署 KubeArmor 需确保节点支持 LSM（如启用 AppArmor）或 eBPF。推荐通过官方 YAML 快速部署：

bash
kubectl apply -f [***]

部署完成后，可通过 kubectl -n kube-system logs deployment/kubearmor-controller 验证控制器运行状态，并通过 kubectl apply -f <policy-file.yaml> 加载自定义安全策略（策略示例可参考 官方文档）。

参考链接

• 官方网站：[***]
• 代码仓库：[***]