设置适当的操作系统级别安全域
翻译
原文:https://devopscube.com/cks-exam-guide-tips/#setup-appropriate-os-level-security-domains-e-g-using-psp-opa-security-contexts
- name: 翻译
desc: 原文:https://devopscube.com/cks-exam-guide-tips/#setup-appropriate-os-level-security-domains-e-g-using-psp-opa-security-contexts
bgColor: '#F0DFB1'
textColor: 'green'
1
2
3
4
2
3
4
# 设置适当的操作系统级别安全域
PSP 已从 Kubernetes v1.21 (opens new window) 中弃用。但从学习的角度来看,这是一个很好的话题。
Open Policy Agent 是一个绝佳的实用程序,用于实现微服务的细粒度控制。
PSP | Pod Security Policy(Pod安全策略) (opens new window) |
OPA | OPA Gatekeeper:Kubernetes 的策略和管理 (opens new window) |
安全上下文任务 | 为 Pod 或容器配置安全上下文 (opens new window) |
译者加
我还找到了一些相关的链接:
- 弃用 PodSecurityPolicy:过去、现在、未来 (opens new window)
- Pod 安全性标准 (opens new window)
- Pod 安全性准入 (opens new window)
- 配置准入控制器实施 Pod 安全标准 (opens new window)
- 使用命名空间标签来实施 Pod 安全性标准 (opens new window)
- Gatekeeper 项目地址 (opens new window)
配置准入控制器实施 Pod 安全性标准:
apiVersion: apiserver.config.k8s.io/v1
kind: AdmissionConfiguration
plugins:
- name: PodSecurity
configuration:
apiVersion: pod-security.admission.config.k8s.io/v1
kind: PodSecurityConfiguration
defaults:
# 策略 privileged、baseline、restricted
# 版本 latest(默认)、或者诸如 "v1.28" 这类版本号
enforce: "privileged"
enforce-version: "latest"
audit: "privileged"
audit-version: "latest"
warn: "privileged"
warn-version: "latest"
exemptions:
# 要豁免的已认证用户名列表
usernames: []
# 要豁免的运行时类名称列表
runtimeClasses: []
# 要豁免的名字空间列表
namespaces: []
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
通过命名空间标签实施 Pod 安全性标准:
apiVersion: v1
kind: Namespace
metadata:
name: ...
# 将 baseline 和 restricted 策略的版本锁定到 v1.28
labels:
# 阻止任何不满足 baseline 策略要求的 Pod
pod-security.kubernetes.io/enforce: baseline
pod-security.kubernetes.io/enforce-version: v1.28
# 针对任何无法满足 restricted 策略要求的、已创建的 Pod 为用户生成警告信息,并添加审计注解
pod-security.kubernetes.io/audit: restricted
pod-security.kubernetes.io/audit-version: v1.28
pod-security.kubernetes.io/warn: restricted
pod-security.kubernetes.io/warn-version: v1.28
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
2
3
4
5
6
7
8
9
10
11
12
13
14
15
编辑 (opens new window)