Kubernetes Pod Security Policies (PSP)解析

于 2024-05-10 19:02:53 发布
阅读量283 收藏 3
点赞数 3
分类专栏: Kubernetes(K8S) 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzyever/article/details/138677830
版权

目录

  • 1.关键功能
  • 2.注意
  • 3.过渡到 PodSecurity
  • 4.示例配置(已废弃,仅供参考)

Pod Security Policies (PSP) 是 Kubernetes 中一个已经废弃的功能,它曾用于控制Pod及其容器的运行时安全属性,比如容器是否能运行在特权模式下、是否能使用特定的Linux功能、挂载什么样的卷等。PSP作为一种集群级别的策略,帮助管理员定义了一系列规则,以确保Pod按照组织的安全标准运行。

1.关键功能

  • 权限控制:限制容器是否能以特权模式运行,限制对宿主机功能的访问(如PID、IPC命名空间共享)。
  • 能力管理:控制容器可使用的Linux Capabilities。
  • SELinux和AppArmor配置:强制执行SELinux标签或AppArmor配置文件。
  • 卷使用限制:规定哪些类型的卷可以被挂载。
  • 主机路径限制:控制是否允许Pod挂载宿主机上的目录。
  • Seccomp配置:指定Seccomp配置文件以限制系统调用。

2.注意

自 Kubernetes v1.21 起,PSP 已被弃用,并计划在 v1.25 中完全移除。取而代之的是新的机制 PodSecurity 特性,它引入了 Pod 安全标准(Pod Security Standards,PSS),包括 privileged, baseline, 和 restricted 三个级别,用于在命名空间级别控制Pod的安全要求。

3.过渡到 PodSecurity

  • PodSecurity admission controller:替代了 PSP 控制器,负责执行新的安全策略。
  • 命名空间注解:用于在没有显式启用 PodSecurity 特性的集群上,临时定义命名空间的策略等级。
  • 策略迁移:从PSP迁移到PSS通常涉及重新评估和定义安全需求,以匹配新的安全标准。

4.示例配置(已废弃,仅供参考)

旧的 PSP 配置示例如下,展示如何创建一个限制容器运行权限的策略:

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restricted
spec:
  privileged: false # 禁止特权模式
  allowPrivilegeEscalation: false # 禁止权限提升
  requiredDropCapabilities: # 必须删除的能力列表
  - ALL
  allowedCapabilities: # 允许的能力列表,如果未设置allowedCapabilities,则默认不允许任何能力
  seLinux:
    rule: RunAsAny # 使用任何SELinux上下文
  supplementalGroups:
    rule: RunAsAny # 任何附加组ID都可使用
  runAsUser:
    rule: MustRunAsNonRoot # 用户ID必须是非root
  fsGroup:
    rule: RunAsAny # 任何文件系统组都可使用
  volumes: # 允许的卷类型
  - secret
  - configMap
  - emptyDir

鉴于PSP已被废弃,推荐使用最新的 PodSecurity 特性和策略标准来管理Kubernetes集群的安全性。

lzyever
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
018 Kubernetes Pod控制器.mp4
05-07
018 Kubernetes Pod控制器.mp4
kubernetes--pod安全策略(podSecurityPolicy
m0_57911290的博客
02-16 4257
Kubernetespod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。使用PSP对象定义一组pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被K8s接受。PodSecurityPolicyKubernetes v1.21 中被弃用, 在 Kubernetes v1.25 中被移除。
3、Kubernetes pod 探测1
08-04
检测探针 - 存活检测name: readiness-httpget-pod- name: readiness-httpget-containerimage:
kubernetes Pod 异常排查步骤
最新发布
01-23
kubernetes Pod 异常排查步骤
Kubernetes pod 生命周期1
08-04
检测探针 - 存活检测name: readiness-httpget-pod- name: readiness-httpget-containerimage:
k8s挂载使用ceph集群
k8seasz的博客
05-22 3445
我们都知道ceph集群是一个开源的分布式存储系统,支持对象存储,块存储,文件系统。本篇文章就是要讲解下k8s下如何挂载使用ceph的块存储系统。 示意图 一:ceph集群创建存储池及存储镜像 #在ceph机器中创建名字为lilh-rbd-pool 的存储池 ceph osd pool create lilh-rbd-pool 9 9 #创建完成后查看ceph机器存储池信息 ceph osd pool ls #启用快存储 ceph osd pool applica...
CNCF Pod 安全策略-PSP学习笔记
weixin_40455124的博客
03-30 265
Pod 安全策略-PSP Pod 安全策略 是Namespace级别的资源,它能够控制 Pod 运行的行为,以及它具有访问什么的能力,目前状态 1 apiVersion: policy/v1beta1 2 Kubernetes v1.17 beta 启用 Pod 安全策略 1 已经启用 API 类型 extensions/v1beta1/podsecuritypolicy(仅对 1.6 之前的版本...
k8s使用ceph-csi插件的cephfs方式持久化存储
HYESC的博客
11-26 3006
k8s使用ceph-csi插件中的cephfs方式持久化存储
K8S Pod 新安全策略 Pod Security Admission 介绍 | K8S Internals 系列第一期
BoCloud博云
04-06 2602
容器编排之争在 Kubernetes 一统天下局面形成后,K8S 成为了云原生时代的新一代操作系统。K8S 让一切变得简单了,但自身逐渐变得越来越复杂。【K8S Internals 系列专栏】围绕 K8S 生态的诸多方面,将由博云容器云研发团队定期分享有关调度、安全、网络、性能、存储、应用场景等热点话题。希望大家在享受 K8S 带来的高效便利的同时,又可以如庖丁解牛般领略其内核运行机制的魅力。
CKS-最小化服务漏洞-pod security policy(PSP)
weixin_45081220的博客
06-22 452
使用第三方的开源软件、准入控制器来提升系统的安全性我们创建的pod基本上是没有任何限制的 1.此pod里的进程,可以以任何用户身份运行 2.可以使用任一类型的存储 3.比如使用hostPath,可以使用任何任一类型的宿主机目录 4.使用宿主机的网络空间 5.pod里也可以使用特权运行我想限制: 不允许使用特权运行? 不允许使用emptyDir类型的存储? 如果使用hostPath存储的话,只能映射到宿主机的/tmp目录 2.运用psp 测试禁止特权运行 2.1 创建一个psp 给john一个权限,可以对p
部署Kubernetes Pod?教你五招!
01-07
Kubernetes中,pod是基本部署单位。它可以包含一个或多个作为逻辑实体打包和部署的容器。在Kubernetes中运行的云原生应用程序可能包含多个一一映射到每个微服务的podpod也是Kubernetes的扩展单位。 下面是在Kubernetes中部署pod之前要遵循的五个最基本的最佳实践。 1) 选择最合适的Kubernetes控制器               虽然部署和运行一个容器镜像(作为一个通用pod)是很有诱惑力的,但是你应该根据工作负载特性选择正确的控制器类型。Kubernetes有一个称为controller的原语,它与工作负载的关键特性相一致。Deployment、
kubernetes【安全】2. securityContext与podsecurityPolicies配置
爱死亡机器人
05-14 1003
介绍 参考链接: https://kubernetes.io/docs/tasks/configure-pod-container/security-context/#before-you-begin Practice - Set Container User and Group root@master:~/cks/securitytext# k run pod --image=busybox --command -oyaml --dry-run=client > pod.yaml -- sh
Kubernetes 使用 ceph-csi 消费 RBD 作为持久化存储
Vic的博客
08-09 744
本文详细介绍了如何在 Kubernetes 集群中部署 ceph-csi(v3.1.0),并使用 RBD 作为持久化存储。 需要的环境参考下图: 本文使用的环境版本信息: Kubernetes 版本: $ kubectl get node NAME STATUS ROLES AGE VERSION sealos01 Ready master 23d v1.18.8 sealos02 Ready master 23d v1.18.8 sea
kubernetes pod podsecurityPoliciesPSP
爱死亡机器人
08-02 593
PSP)是集群级的 Pod 安全策略,自动为集群内的 Pod 和 Volume 设置 Security Context。使用 PSP 需要 API Server 开启 extensions/v1beta1/podsecuritypolicy,并且配置 PodSecurityPolicy admission 控制器。
k8s安全机制:Pod Security PolicySecurity Context
风向决定发型丶的博客
11-03 584
自从首次引入 PodSecurityPolicy 以来, PSP 存在一些严重的可用性问题, 只有做出断裂式的改变才能解决。PodSecurityPolicy (PSP) 在 Kubernetes 1.21 中被弃用, 在Kubernetes v1.25会被移除。替代方案Pod Security Standard(Pod安全标准)。使用 Pod 安全标准的 PSP 来获得和目前 PSP 替代策略相似的功能。
由于以下错误 enterprise manager配置失败_Kubernetes Pod 安全策略(PSP)配置
weixin_39990410的博客
11-28 557
默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。PodSecurityPolicyKubernetes API 对象,你可以在不对 Kubernetes 进行任何修改的情况下创建它们,但是,默认情况下不会强制执行我们创建的一些策略...
K8s Pod Security Policy实践
小楼一夜听春雨,深巷明朝卖杏花
07-10 2166
什么是 Pod 安全策略? Pod 安全策略(Pod Security Policy)是集群级别的资源,它能够控制 Pod 规约 中与安全性相关的各个方面。PodSecurityPolicy对象定义了一组 Pod 运行时必须遵循的条件及相关字段的默认值,只有 Pod 满足这些条件 才会被系统接受。 Pod 安全策略允许管理员控制如下方面: 控制的角度 字段名称 运行特权容器 privileged 使用宿主名字空间 hostPID、hostIPC 使用宿主的网络和端口 ...
【云原生 | Kubernetes 系列】K8s 实战 一文学会如何从 PodSecurityPolicy 迁移到内置的 PodSecurity 准入控制器
半身风雪
08-04 1669
本篇文章我们将学习,如何从 PodSecurityPolicy 迁移到内置的 PodSecurity 准入控制器的过程。 这一迁移过程可以通过综合使用试运行、audit 和 warn 模式等来实现, 尽管在使用了变更式 PSP 时会变得有些困难。...
k8s资源之podSecurityPolicy
mark's technic world
01-09 1679
发布一个k8s部署视频:https://edu.csdn.net/course/detail/26967 课程内容:各种k8s部署方式。包括minikube部署,kubeadm部署,kubeasz部署,rancher部署,k3s部署。包括开发测试环境部署k8s,和生产环境部署k8s。 腾讯课堂连接地址https://ke.qq.com/course/478827?taid=4373109931...
kubernetes pod 网络不通
11-01
Kubernetes Pod 网络不通可能有多种原因。 首先,可能是 Pod 所属的 Node 网络故障。这可能是由于 Node 上的网络问题,例如网卡故障、网络配置错误或网络连接中断导致的。解决这个问题的方法可以是检查 Node 上的网络连接、查看网络配置或重启 Node。 其次,可能是 Pod 内部容器的网络配置问题。每个 Pod 可以包含多个容器,这些容器之间通过网络进行通信,但容器的网络配置可能存在问题。例如,容器的 IP 地址冲突、容器的网络策略限制、容器中的防火墙规则等等。解决这个问题的方法可以是检查容器的网络配置、查看容器日志或重新启动容器。 另外,还有可能是集群网络插件的问题。Kubernetes 支持多种网络插件(如Flannel、Calico等),这些插件负责连接 Pod 和 Node 之间的网络。如果网络插件配置有问题,可能会导致 Pod 网络不通。解决这个问题的方法可以是检查网络插件的配置、查看插件的日志或重新配置插件。 最后,还有可能是网络策略的限制导致 Pod 网络不通。Kubernetes 提供了网络策略功能,可以控制 Pod 之间的网络访问权限。如果网络策略配置有误或设置了不正确的规则,可能会导致 Pod 之间无法通信。解决这个问题的方法可以是检查网络策略的配置、查看策略的规则或调整策略的设置。 总之,Kubernetes Pod 网络不通可能有多种原因,需要根据具体情况进行排查,并寻找对应的解决方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值