Kubernetes Pod Security Policies (PSP)解析

于 2024-05-10 19:02:53 发布
阅读量523 收藏 3
点赞数 3
分类专栏: Kubernetes(K8S) 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzyever/article/details/138677830
版权

目录

  • 1.关键功能
  • 2.注意
  • 3.过渡到 PodSecurity
  • 4.示例配置(已废弃,仅供参考)

Pod Security Policies (PSP) 是 Kubernetes 中一个已经废弃的功能,它曾用于控制Pod及其容器的运行时安全属性,比如容器是否能运行在特权模式下、是否能使用特定的Linux功能、挂载什么样的卷等。PSP作为一种集群级别的策略,帮助管理员定义了一系列规则,以确保Pod按照组织的安全标准运行。

1.关键功能

  • 权限控制:限制容器是否能以特权模式运行,限制对宿主机功能的访问(如PID、IPC命名空间共享)。
  • 能力管理:控制容器可使用的Linux Capabilities。
  • SELinux和AppArmor配置:强制执行SELinux标签或AppArmor配置文件。
  • 卷使用限制:规定哪些类型的卷可以被挂载。
  • 主机路径限制:控制是否允许Pod挂载宿主机上的目录。
  • Seccomp配置:指定Seccomp配置文件以限制系统调用。

2.注意

自 Kubernetes v1.21 起,PSP 已被弃用,并计划在 v1.25 中完全移除。取而代之的是新的机制 PodSecurity 特性,它引入了 Pod 安全标准(Pod Security Standards,PSS),包括 privileged, baseline, 和 restricted 三个级别,用于在命名空间级别控制Pod

最低0.47元/天 解锁文章
什么是Kubernetes PodSecurityPolicy
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
09-09 3997
PodSecurityPolicyPSP)是Kubernetes中的一个安全特性,用于在Pod创建前进行安全策略检查,限制Pod的资源使用、运行权限等,提升集群安全性。
Kubernetes面试整理-如何利用PodSecurityPolicies来提高集群的安全性?
最新发布
不务正业的猿
06-28 291
虽然 PSPKubernetes 1.21 开始已被弃用,并在 1.25 版本中移除,但在一些旧版 Kubernetes 集群中,PSP 仍然是一个重要的安全控制工具。通过 PodSecurityPolicy,可以对 Pod 的安全配置进行严格控制,从而提高 Kubernetes 集群的整体安全性。由于 PSPKubernetes 1.25 中被移除,建议迁移到新的 Pod 安全准入控制器,这是 PSP 的继任者。如果 Pod 不符合 PSP 的安全要求,则会失败创建,并显示相关的错误信息。
k8s篇之Pod 安全策略
不务正业随手记
03-04 2106
默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod的安全策略进行管理。
Kubernetes Pod Security Policies详解
爱死亡机器人
06-01 1605
版本 功能状态: Kubernetes v1.21 [deprecated] PodSecurityPolicyKubernetes v1.21 起已弃用,并将在 v1.25 中删除。 Pod 安全策略启用对 Pod 创建和更新的细粒度授权 介绍 PodSecurityPolicy对象定义一组条件,一个pod必须以被接受进入系统,以及用于相关字段默认值运行。它们允许管理员控制以下内容: 运行特权容器 privileged 主机命名空间的使用 hostPID, hostIPC 主机网
k8s安全机制:Pod Security Policy与Security Context
风向决定发型丶的博客
11-03 1163
自从首次引入 PodSecurityPolicy 以来, PSP 存在一些严重的可用性问题, 只有做出断裂式的改变才能解决。PodSecurityPolicy (PSP)Kubernetes 1.21 中被弃用, 在Kubernetes v1.25会被移除。替代方案Pod Security Standard(Pod安全标准)。使用 Pod 安全标准的 PSP 来获得和目前 PSP 替代策略相似的功能。
kubernetes--pod安全策略(podSecurityPolicy
m0_57911290的博客
02-16 4468
Kubernetespod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。使用PSP对象定义一组pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被K8s接受。PodSecurityPolicyKubernetes v1.21 中被弃用, 在 Kubernetes v1.25 中被移除。
K8s Pod Security Policy实践
小楼一夜听春雨,深巷明朝卖杏花
07-10 2360
什么是 Pod 安全策略? Pod 安全策略(Pod Security Policy)是集群级别的资源,它能够控制 Pod 规约 中与安全性相关的各个方面。PodSecurityPolicy对象定义了一组 Pod 运行时必须遵循的条件及相关字段的默认值,只有 Pod 满足这些条件 才会被系统接受。 Pod 安全策略允许管理员控制如下方面: 控制的角度 字段名称 运行特权容器 privileged 使用宿主名字空间 hostPID、hostIPC 使用宿主的网络和端口 ...
Kubernetes实践:深入理解PodSecurityPolicies
### Kubernetes PodSecurityPoliciesPSPKubernetes PSPKubernetes的一个安全功能,允许集群管理员控制Pod可以使用哪些安全上下文。PSP定义了创建Pod时必须满足的一系列约束。例如,限制容器的运行权限,控制...
Kubernetes安全加固:RBAC、PodSecurityPolicies、Network Policies
本章将介绍Kubernetes的安全性问题,深入探讨为什么Kubernetes安全至关重要,以及常见的安全威胁。 ## 1.1 什么是KubernetesKubernetes是一个开源的容器编排引擎,最初由Google开发,现已成为Cloud Native ...
podsecuritypolicy
yuyang4600的博客
11-05 2114
对不同的用户和组分配不同的PodSecurityPolicy PodSecurityPolicy是集群级别的资源,意味着他不能存储和应用在某一特定的命名空间上; 对不同的用户分配不同的PodSecurityPolicy是通过RBAC机制来实现的 k=kubetcl 首先,创建一个允许部署特权容器的PodSecurityPolicy apiVersion: extensions/v1beta1 ki...
kubernetes CKS 4.3 Pod安全策略(PSP
cloud_engineer的博客
07-14 640
PodSecurityPolicy(简称PSP):KubernetesPod部署时重要的安全校验手段,能够 有效地约束应用运行时行为安全。 使用PSP对象定义一组Pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这 些条件才会被K8s接受。...
Kubernetes PodSecurityPolicy
来啊 快活啊
02-01 1902
参考 Enforcing cluster-wide policies for a Kubernetes-based Docker cluster Pod 安全策略 Kubernetes-深入分析集群安全机制 Kubernetes 部署的最佳安全实践
K8S学习指南(39)-k8s权限管理对象 PodSecurityPolicy
俞兆鹏的博客
12-25 1217
通过本文,我们深入了解了Kubernetes中权限管理对象PodSecurityPolicy的基本概念、创建方式,并通过详细的示例演示了如何手动创建PodSecurityPolicy,并将其与Role和RoleBinding关联,以实现对Pod的安全控制。在示例中,我们将演示如何手动创建一个PodSecurityPolicy,并将其与集群中的Role和RoleBinding关联,以实现对Pod的安全控制。的PodSecurityPolicy,定义了一系列安全规则,包括不允许特权容器、禁止使用主机网络等。
kubernetes【安全】2. securityContext与podsecurityPolicies配置
爱死亡机器人
05-14 1144
介绍 参考链接: https://kubernetes.io/docs/tasks/configure-pod-container/security-context/#before-you-begin Practice - Set Container User and Group root@master:~/cks/securitytext# k run pod --image=busybox --command -oyaml --dry-run=client > pod.yaml -- sh
pod安全策略(PSP)
教Linux的李老师
06-27 361
启用pod安全策略 禁止创建特权模式pod
Kubernetes PodSecurityPolicy 资源介绍
小楼一夜听春雨,深巷明朝卖杏花
08-16 621
限制pod使用安全相关的特性 已经介绍了如何在部署 pod时在任一宿主节点上做任何想做 的事。 比如, 部署一个特权模式的 pod 。 很明显, 需要有一种机制阻止用户使用其中的部分功能。 集群管理入员可以通过创建 PodSecurityPolicy资源来限制对以上提到的安全相关的特性的使用。 PodSecurityPolicy资源介绍 PodSecurityPolicy 是一种集群级别(无命名空间)的资源, 它定义了用户能否在 pod 中使用各种安全相关的特性。 维护 PodSecu
二十一、Pod的安全策略
爱吃西红柿的博客
02-16 646
为了更精细的控制pod启动或者更新时的安全管理,kubernetes从1.5版本开始引入podSecurityPolicy资源对象对pod安全策略进行管理。podSecurityPolicy是集群范围内的资源对象,不属于命名空间范围。
CKS学习笔记- PodSecurityPolicy练习
weixin_43394724的博客
10-19 469
什么是PodSecurityPolicyPodSecurityPolicy是一个内置的许可控制器,它允许集群管理员控制Pod规范的安全敏感方面。 首先,在集群中创建一个或多个PodSecurityPolicy资源,以定义pod必须满足的需求。然后,创建RBAC规则来控制哪个PodSecurityPolicy应用于给定的pod。 如果pod满足其PSP的要求,它将像往常一样被允许进入集群。在某些情况下,PSP还可以修改Pod字段,有效地为这些字段创建新的默认值。如果Pod不符合PSP要求,它将被拒绝,并且
kubernetes-Pod安全策略psp实践-非原创-方便自己查看
weixin_46010524的博客
06-13 305
使用PSP安全策略psp策略定义好之后还需要再创建role,把psp策略绑定到role上,再将role绑定到serviceaccount,再在Pod中使用serviceaccount。还有几个必要条件:1、在apiserver启动参数 --enable-admission-plugins 中要加上 PodSecurityPolicy 选项,默认是没有启用的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值