在容器化技术的普及过程中，容器镜像的管理和分发变得至关重要。作为容器运行时的核心组件，containerd广泛应用于各种容器管理平台，如Kubernetes、Docker等。为了确保镜像的安全性和访问的可靠性，配置私有镜像仓库已成为企业部署容器化应用的常见实践。

本文将介绍如何为containerd配置私有镜像仓库。我们将详细讲解从基础环境准备、私有镜像仓库的搭建、containerd配置文件的修改到最终的验证过程。

K8s PSP（Pod Security Policy）是 Kubernetes 中的一个安全特性，用于限制 Pod 的权限和访问能力，以确保 Pod 在运行时不会破坏 Kubernetes 集群的安全。 PSP 为管理员提供了一种机制，可以在 Kubernetes 集群中定义强制执行的安全策略。这些安全策略可以限制容器的能力，例如禁止使用特定的 Linux 系统调用、禁止从容器内部将网络流量转发到集群内部等等。管理员可以创建多个 PSP 并将其分配给不同的用户或命名空间，以便根据需要为不同的应用程序或用户组设置不同的安全策略。 要启用 Pod 安全策略，必须确保 Kubernetes 集群已启用 RBAC（基于角色的访问控制）。此外，还需要为 Pod 安全策略定义 ClusterRole 和 ClusterRoleBinding，以授予管理员创建、更新和删除 Pod 安全策略的权限。

云原生场景下，使用安全配置加固http请求

在k8s云原生场景下开启ingress-nginx TLS安全配置

云原生场景下，通过x-forwarded-for需要记录请求客户端真实IP,通过external-traffic-policy设置kube-proxy对流量的转发策略

Kubernetes 部署文档

kubesphere基于client-go的原理介绍

Tkeel 云原生物联网平台初探

基于nocalhost本地开发调试云上kubernetes集群应用