SUSE Rancher Prime 自我评估和加固指南

Rancher 为每个受支持的 Rancher 版本的 Kubernetes 发行版提供了特定的安全强化指南。

Rancher Kubernetes 发行版

Rancher 使用以下 Kubernetes 发行版：

RKE（Rancher Kubernetes Engine）是经过 CNCF 认证的 Kubernetes 发行版，完全在 Docker 容器中运行。
RKE2 是一个完全合规的 Kubernetes 发行版，专注于安全和合规性。
K3s 是一个完全合规的，轻量级 Kubernetes 发行版。它易于安装，内存需求只有上游 Kubernetes 的一半，所有组件都在一个小于 100 MB 的二进制文件中。

要加固运行未列出的发行版的 Kubernetes 集群，请参阅 Kubernetes 提供商文档。

加固指南和 Benchmark 版本

每个自我评估指南都附有强化指南。这些指南与列出的 Rancher 版本一起进行了测试。每个自我评估指南都在特定的 Kubernetes 版本和 CIS Benchmark 版本上进行了测试。如果 CIS Benchmark 尚未针对你的 Kubernetes 版本进行验证，你可以使用现有指南，直到添加适合你的版本的指南。

RKE 指南

Kubernetes 版本	CIS Benchmark 版本	自我评估指南	加固指南
Kubernetes v1.25/v1.26/v1.27	CIS v1.7	链接	链接

Kubernetes 版本

CIS Benchmark 版本

自我评估指南

加固指南

Kubernetes v1.25/v1.26/v1.27

CIS v1.7

链接

SUSE® Rancher Prime: RKE2 指南

类型	Kubernetes 版本	CIS Benchmark 版本	自我评估指南	加固指南
Rancher provisioned RKE2	Kubernetes v1.25/v1.26/v1.27	CIS v1.7	链接	链接
Standalone RKE2	Kubernetes Kubernetes v1.27-v1.32	CIS v1.9	链接	链接

类型

Kubernetes 版本

CIS Benchmark 版本

自我评估指南

加固指南

Rancher provisioned RKE2

Kubernetes v1.25/v1.26/v1.27

CIS v1.7

链接

Standalone RKE2

Kubernetes Kubernetes v1.27-v1.32

CIS v1.9

链接

SUSE® Rancher Prime: K3s 指南

类型	Kubernetes 版本	CIS Benchmark 版本	自我评估指南	加固指南
Rancher provisioned K3s cluster	Kubernetes v1.25/v1.26/v1.27	CIS v1.7	链接	链接
Standalone K3s	Kubernetes v1.26 up to v1.29	CIS v1.8	链接	链接

类型

Kubernetes 版本

CIS Benchmark 版本

自我评估指南

加固指南

Rancher provisioned K3s cluster

Kubernetes v1.25/v1.26/v1.27

CIS v1.7

链接

Standalone K3s

Kubernetes v1.26 up to v1.29

CIS v1.8

链接

在 SELinux 上使用 Rancher

Security-Enhanced Linux (SELinux) 是一个内核模块，为 Linux 添加了额外的访问控制和安全工具。SELinux 过去曾被政府机构使用，现在已成为行业标准。SELinux 在 RHEL 和 CentOS 上默认启用。

要将 Rancher 与 SELinux 结合使用，我们建议安装 rancher-selinux。