https://socake.github.io/tags/%E5%AE%89%E5%85%A8/Recent content in 安全 on 黄文卓 | DevOps EngineerHugo -- gohugo.iozh-CN17691281867@163.com (Wenzhuo Huang)17691281867@163.com (Wenzhuo Huang)© 2026 Wenzhuo HuangThu, 02 Apr 2026 10:00:00 +0800https://socake.github.io/posts/tetragon-runtime-security/Thu, 02 Apr 2026 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/tetragon-runtime-security/Kubernetes 运行时安全是传统 EDR 难以覆盖的盲区。Tetragon 用 eBPF 在内核态采集进程、网络、文件和系统调用事件，并能在内核就地阻断攻击动作。本文从架构原理出发，讲解 TracingPolicy 语法、典型攻击检测（反弹 shell、提权、敏感文件访问）、阻断机制、性能开销，以及它与 Falco 的差异。https://socake.github.io/posts/llm-security-guardrails/Fri, 23 Jan 2026 11:01:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/llm-security-guardrails/我们的 AI 客服系统曾被一个用户用一句话绕过所有限制，让它泄露了内部知识库的敏感信息。这篇文章系统梳理 LLM 应用的安全威胁模型，以及我们在生产系统中实施的防御层次。https://socake.github.io/docs/kubernetes/aws-iam%E6%9D%83%E9%99%90%E7%AE%A1%E7%90%86/Tue, 09 Dec 2025 16:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/docs/kubernetes/aws-iam%E6%9D%83%E9%99%90%E7%AE%A1%E7%90%86/从 IAM 核心概念到 IRSA/GitHub Actions OIDC 联合身份，再到权限边界与 SCP，系统梳理 AWS IAM 在生产环境的最佳实践。https://socake.github.io/docs/kubernetes/k8s-%E5%AE%89%E5%85%A8%E5%8A%A0%E5%9B%BA/Tue, 09 Dec 2025 11:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/docs/kubernetes/k8s-%E5%AE%89%E5%85%A8%E5%8A%A0%E5%9B%BA/K8s 安全加固从 Pod 到集群：SecurityContext 配置、网络策略隔离、Secret 安全管理、镜像漏洞扫描、RBAC 最小权限原则的落地实践。https://socake.github.io/docs/kubernetes/k8s-rbac%E6%9D%83%E9%99%90%E7%AE%A1%E7%90%86/Tue, 09 Dec 2025 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/docs/kubernetes/k8s-rbac%E6%9D%83%E9%99%90%E7%AE%A1%E7%90%86/从 RBAC 核心概念到生产级多租户权限设计，涵盖 ServiceAccount 最小权限、kubectl auth can-i 排查和命名空间隔离实践。https://socake.github.io/docs/linux/linux%E7%94%A8%E6%88%B7%E6%9D%83%E9%99%90%E7%AE%A1%E7%90%86/Tue, 09 Dec 2025 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/docs/linux/linux%E7%94%A8%E6%88%B7%E6%9D%83%E9%99%90%E7%AE%A1%E7%90%86/从 useradd/usermod 用户管理到 SUID/SGID 特殊权限，从 sudoers 配置到 fail2ban 防暴力破解，覆盖 Linux 系统安全加固的核心操作。https://socake.github.io/posts/%E9%9B%B6%E4%BF%A1%E4%BB%BB%E7%BD%91%E7%BB%9C%E5%AE%9E%E8%B7%B5/Sat, 22 Nov 2025 13:37:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/%E9%9B%B6%E4%BF%A1%E4%BB%BB%E7%BD%91%E7%BB%9C%E5%AE%9E%E8%B7%B5/从发现公网暴露的安全隐患开始，到用 Headscale 自建零信任网络，替代跳板机体系，实现 kubectl 和运维系统的 VPN 接入。https://socake.github.io/posts/webassembly-cloud-native/Sat, 08 Nov 2025 14:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/webassembly-cloud-native/WebAssembly 在云原生领域的热度持续上涨，但很多讨论都停留在概念层面。这篇文章试图给出一个务实的视角：Wasm 在哪些云原生场景已经可以生产落地，在哪些场景还需要等待，以及和容器相比的真实差异。https://socake.github.io/posts/ebpf-observability/Wed, 17 Sep 2025 12:36:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/ebpf-observability/eBPF 正在重塑云原生可观测性的底层基础。本文记录在 K8s 集群中落地 Cilium + Hubble 网络监控和 Tetragon 安全审计的实践经验。https://socake.github.io/posts/trivy-cosign-supply-chain/Sat, 06 Sep 2025 13:50:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/trivy-cosign-supply-chain/你的镜像安全吗？本文梳理容器供应链的主要攻击面，手把手演示 Trivy 扫描、Cosign 签名、K8s 准入控制三层防护的搭建过程，并给出 GitLab CI 集成示例。https://socake.github.io/posts/aws-eks-best-practices/Fri, 22 Aug 2025 12:51:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/aws-eks-best-practices/管理多套 EKS 集群两年下来，踩了不少坑。本文系统整理网络选型、IAM 权限、节点管理、集群升级、安全加固和成本控制这六个核心话题，每个话题都有具体配置示例和实际遇到的问题。https://socake.github.io/posts/devsecops-practice/Wed, 20 Aug 2025 10:30:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/devsecops-practice/安全不是最后一道关卡，而是嵌入每个研发环节的连续过程。本文从代码静态分析、依赖漏洞扫描、镜像安全、K8s 运行时防护到供应链签名，逐层拆解 DevSecOps 的完整实施路径，并给出一个可落地的流水线设计。https://socake.github.io/posts/kubernetes-network-policy/Sun, 15 Jun 2025 09:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/kubernetes-network-policy/系统讲解 Kubernetes NetworkPolicy 的工作机制与生产实战配置，覆盖 deny-all 基础模板、常见隔离场景、Cilium 扩展、多租户设计、测试验证方法及常见陷阱。https://socake.github.io/posts/vault-external-secrets/Thu, 20 Feb 2025 10:20:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/vault-external-secrets/base64 不是加密。本文从 Secret 泄露风险说起，完整介绍 Vault 核心概念、K8s 部署方式、ESO 集成配置，以及动态数据库凭证的自动轮换实践。https://socake.github.io/posts/harbor-registry-ops/Tue, 18 Feb 2025 09:30:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/harbor-registry-ops/从 Harbor 架构原理出发，系统梳理生产环境中高可用部署方案、镜像安全扫描策略、跨区域复制配置、权限体系设计，以及与 Jenkins/GitLab CI 的集成实践，附故障排查手册与 Prometheus 监控配置。https://socake.github.io/posts/kubernetes-rbac-security/Fri, 24 Jan 2025 12:36:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/kubernetes-rbac-security/从真实安全事件出发，系统讲解 Kubernetes RBAC 最小权限设计、ClusterRole 与 Role 的适用场景、审计日志分析 RBAC 问题的方法，以及 NetworkPolicy 实现命名空间和 Pod 级别的网络隔离。