翻译

原文：https://devopscube.com/cks-exam-guide-tips/#setup-appropriate-os-level-security-domains-e-g-using-psp-opa-security-contexts

- name: 翻译
  desc: 原文：https://devopscube.com/cks-exam-guide-tips/#setup-appropriate-os-level-security-domains-e-g-using-psp-opa-security-contexts
  bgColor: '#F0DFB1'
  textColor: 'green'

设置适当的操作系统级别安全域

PSP 已从 Kubernetes v1.21 (opens new window) 中弃用。但从学习的角度来看，这是一个很好的话题。

Open Policy Agent 是一个绝佳的实用程序，用于实现微服务的细粒度控制。

PSP	Pod Security Policy（Pod安全策略） (opens new window)
OPA	OPA Gatekeeper：Kubernetes 的策略和管理 (opens new window)
安全上下文任务	为 Pod 或容器配置安全上下文 (opens new window)

译者加

我还找到了一些相关的链接：

• 弃用 PodSecurityPolicy：过去、现在、未来 (opens new window)
• Pod 安全性标准 (opens new window)
• Pod 安全性准入 (opens new window)
• 配置准入控制器实施 Pod 安全标准 (opens new window)
• 使用命名空间标签来实施 Pod 安全性标准 (opens new window)
• Gatekeeper 项目地址 (opens new window)

配置准入控制器实施 Pod 安全性标准：

apiVersion: apiserver.config.k8s.io/v1
kind: AdmissionConfiguration
plugins:
- name: PodSecurity
  configuration:
    apiVersion: pod-security.admission.config.k8s.io/v1
    kind: PodSecurityConfiguration
    defaults:
      # 策略 privileged、baseline、restricted
      # 版本 latest（默认）、或者诸如 "v1.28" 这类版本号
      enforce: "privileged"
      enforce-version: "latest"
      audit: "privileged"
      audit-version: "latest"
      warn: "privileged"
      warn-version: "latest"
    exemptions:
      # 要豁免的已认证用户名列表
      usernames: []
      # 要豁免的运行时类名称列表
      runtimeClasses: []
      # 要豁免的名字空间列表
      namespaces: []

通过命名空间标签实施 Pod 安全性标准：

apiVersion: v1
kind: Namespace
metadata:
  name: ...
  # 将 baseline 和 restricted 策略的版本锁定到 v1.28
  labels:
    # 阻止任何不满足 baseline 策略要求的 Pod
    pod-security.kubernetes.io/enforce: baseline
    pod-security.kubernetes.io/enforce-version: v1.28

    # 针对任何无法满足 restricted 策略要求的、已创建的 Pod 为用户生成警告信息，并添加审计注解
    pod-security.kubernetes.io/audit: restricted
    pod-security.kubernetes.io/audit-version: v1.28
    pod-security.kubernetes.io/warn: restricted
    pod-security.kubernetes.io/warn-version: v1.28