Kubernetes的新特性PodSecurity解析

最新推荐文章于 2024-05-23 14:03:18 发布
最新推荐文章于 2024-05-23 14:03:18 发布
阅读量427 收藏 8
点赞数 7
分类专栏: Kubernetes(K8S) 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzyever/article/details/138683858
版权

目录

  • 1.概念
  • 2.实施方式
  • 3.迁移自 PodSecurityPolicies
  • 4.示例命名空间注解配置

1.概念

PodSecurity 是 Kubernetes 引入的一个新特性,旨在替代已废弃的 Pod Security Policies (PSP),以更简洁和统一的方式管理集群中Pod的安全性。这个新特性通过预定义的 Pod 安全标准(Pod Security Standards,PSS)和策略实施对Pod的运行时行为进行约束,主要分为三个级别:

  1. privileged(特权):这一级别对Pod的限制最少,允许几乎所有的安全上下文和配置,适合需要直接访问硬件或执行高权限操作的系统组件。

  2. baseline(基线):这是默认的安全级别,适用于大部分应用。它禁止了一些高风险操作,比如运行特权容器、使用宿主机网络和PID命名空间、以及使用特定的敏感卷类型等。这个级别的目标是在安全性与灵活性之间找到平衡。

  3. restricted(受限):此级别实施最严格的限制,目的是为了保护集群免受潜在的攻击。它不允许容器以root身份运行,限制了对敏感资源的访问,并且对容器的运行环境有更严格的控制。对于面向互联网的应用或第三方应用,这是一个推荐的设置。

2.实施方式

  • PodSecurity admission controller:负责执行这些安全策略,需要在集群中启用。
  • 命名空间注解:可以通过在命名空间上设置注解来指定该命名空间下所有Pod的默认安全策略。
  • 逐个Pod的例外:即使在命名空间设置了默认策略,也可以为单个Pod设置例外,但这种做法应谨慎使用。

3.迁移自 PodSecurityPolicies

如果你之前使用了PSP,迁移至PodSecurity特性可能涉及以下步骤:

  • 审计现有策略:分析现有的PSP,了解它们实施了哪些安全限制。
  • 映射到新的标准:根据PSP的内容,将其映射到privilegedbaselinerestricted级别。
  • 更新集群配置:启用PodSecurity准入控制器,并在必要的命名空间上设置适当的注解。
  • 测试和调整:在生产环境前,对策略变化进行充分测试,并根据应用的实际需求进行调整。

4.示例命名空间注解配置

apiVersion: v1
kind: Namespace
metadata:
  name: my-app-namespace
  annotations:
    pod-security.kubernetes.io/enforce: "restricted"
    pod-security.kubernetes.io/enforce-version: "latest"
    pod-security.kubernetes.io/warn: "privileged"
    pod-security.kubernetes.io/warn-version: "latest"
    pod-security.kubernetes.io/audit: "baseline"
    pod-security.kubernetes.io/audit-version: "latest"

在这个例子中,my-app-namespace 命名空间强制执行了 restricted 级别的策略,同时对尝试使用 privileged 策略的Pod发出警告,并对不符合 baseline 级别及以上策略的Pod进行审计记录。

通过采用PodSecurity,Kubernetes集群管理者能够更简便地维护集群安全,同时也便于跟随Kubernetes的发展趋势进行升级和维护。

lzyever
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes1.3新特性
容器技术爱好者
07-19 1万+
本次分析的kubernetes版本号:v1.3.0。 scheduler模块 新增了kube-api-content-type参数,表示scheduler模块发送给api-server的请求类型,默认值是“application/vnd.kubernetes.protobuf”。 新增了hard-pod-affinity-symmetric-weight参数,表示POD调度规则亲和力的权重,
kubernetes1.4新特性:支持sysctl命令
容器技术爱好者
11-02 1万+
背景介绍 sysctl是一个允许改变正在运行中的Linux系统内核参数的接口。可以通过sysctl修改Linux系统内核中的TCP/IP 堆栈和虚拟内存系统的高级选项,而且不需要重新启动Linux系统,就可以实现优化Linux系统和提高应用进程运行性能。 通过Linux系统中的/proc虚拟文件系统来实现动态配置Linux系统内核参数,在/proc/sys目录下有Linux系统绝大多数的内核参
kubernetes自定义hosts域名解析
一别两宽丶各生欢喜
11-29 3145
可以为 coredns 配置 hosts 来实现为 kubernetes 集群添加全局的自定义域名解析,适用于整个集群内都需要配置域名解析,但是需要重启coredns服务加入 hosts:hosts {}通过dockerfile文件指定CMD启动脚本方式,只有root可以直接这么修改,如果USER app会报无权限。
Kubernetes 有哪些特性?
Shockang的博客
11-02 4176
前言 本文隶属于专栏《1000个问题搞定大数据技术体系》,该专栏为笔者原创,引用请注明来源,不足和错误之处请在评论区帮忙指出,谢谢! 本专栏目录结构和参考文献请见1000个问题搞定大数据技术体系 正文 Kubernetes 是一种用于在一组主机上运行和协同容器化应用程序的系统,旨在提供可预测性、可扩展性与高可用性的方法来完全管理容器化应用程序和服务的生命周期的平台。 用户可以定义应用程序的运行方式,以及与其他应用程序或外部世界交互的途径,并能实现服务的扩容和缩容,执行平滑滚动更新,以及在不同版本的应用程
Kubernetes cluster-autoscaler 解析
@毛宏斌
05-23 7903
CA( cluster-autoscaler)是用来弹性伸缩kubernetes集群的。我们在使用kubernetes集群经常问到的一个问题是,我应该保持多大的节点规模来满足应用需求呢? cluster-autoscaler的出现解决了这个问题,它可以自动的根据部署的应用所请求的资源量来动态的伸缩集群。
Kubernetes集群DNS无法解析问题的处理过程
会哭的雨@的博客
11-26 5646
问题描述 在搭建Kubernetes集群过程中,安装了kube-dns插件后,运行一个ubuntu容器,发现容器内无法解析集群外域名,一开始可以解析集群内域名,一段时间后也无法解析集群内域名。 $ nslookup kubernetes.default Server: 10.99.0.2 Address 1: 10.99.0.2 kube-dns.kube-system.svc.cluster.local nslookup: can't resolve 'kubernetes.default'
Kubernetes 高级特性集锦
tomcat的专栏
12-11 6980
1.前言kubernetes 项目发展至今,社区出现了很多非常优秀的特性,这些特性极大地扩展了Kubernetes的能力。目前很多公司基于Google Kubernetes 和 Docker 打造各自的私有化PaaS平台,这些高级特性往往是PaaS平台需要的,深入了解这些特性能够帮助架构设计人员快速确定技术方案,达到事半功倍的效果。目前很多PaaS平台都通过开放Kubernetes 特性,获得了很
kubernetes集群内部DNS解析原理、域名解析超时问题记录
m0_37642477的博客
04-14 3962
kubernetes集群内部DNS解析原理 当kubernetes初始化完成后,在kube-system名称空间下会出现kube-dns的service服务与core-dnsd的pod $ kubectl get svc -n kube-system NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kube-dns ClusterIP 241.254.0.10 &lt
Kubernetes1.3新特性:rktnetes
热门推荐
容器技术爱好者
10-01 1万+
(一)  背景资料 对于Kubernetes来说,从架构设计上就是支持Docker和CoreOS rkt两种容器的,在1.2版本中,最低支持CoreOS rkt 0.13.0版本,这个rkt版本算是一个开发测试版本。CoreOS rkt在2016年正式发布了1.0,rkt从1.0开始算是一个正式生产版本了,Kubernetes在1.3中最低支持CoreOS rkt 1.9.1。由于Kuberne
Kubernetes最新技术深度解析.pptx
10-11
Kubernetes最新技术深度解析.pptx
Kubernetes应用部署模型解析(部署篇)
01-30
摘要:在介绍部署之前需要了解的原理和概念之后,本文以一个简单的nginx服务来展示了复制器和Service的使用,特别通过对Service的clusterIP和NodePort的分析,使得读者能够了解这个模型中的网络特性。【编者按】...
Kubernetes应用部署模型解析(原理篇)
01-30
摘要:本系列文章着眼于实际部署,带您快速掌握Kubernetes。本文主要介绍部署之前需要了解的原理和概念,包括Kubernetes的组件结构,各个组件角色的功能,以及Kubernetes的应用模型等。【编者按】Kubernetes可用来...
IBM基于Kubernetes的容器云全解析
02-25
容器云最主要的功能是以...我们IBM的BlueDock就是这样一个容器云平台,主要基于Kubernetes实现了容器的编排和资源调度,并默认使用Mesos作为底层的资源管理器,但如果用户没有运行多个framework的需求,可不使用Meso
k8s笔记 | helm包管理
weixin_41104307的博客
05-19 373
如果是在 arm64下的话,使用 registry.cn-beijing.aliyuncs.com/pylixm/nfs-subdir-external-provisioner:v4.0.0 这个镜像会报错 exec / nfs-subdir-external-provisioner format error 简单来说就是平台不匹配,解决方案就是自己构建一个匹配的镜像包。由于需要提前创建storageClass manage-nfc-storage,在前面的章节中总共有三个文件。
【k8s】存储 pvc 参数列表
最新发布
m0_45406092的博客
05-23 102
注意:pvc没有亲和性参数。
KubernetesPod 之间的亲和性与反亲和性
千度阿三的博客
05-18 364
Pod 反亲和性是与亲和性完全相反的定义,一旦发现它的约束条件匹配,那么这个 Pod 比与匹配 Pod 在不同的上的工作节点上。它主要可以用来保障不是热点区域和不需要高性能响应但很重要的业务不受干扰。
安装k8s的负载均衡器MetalLB
纵歌的博客
05-17 668
安装k8s的负载均衡器MetalLB(新旧版安装不同)
kubeadm部署k8s v1.28
Fish_1112的博客
05-19 700
kubeadm部署k8s v1.28
Kubernetes Dashboard yaml文件参数解析
05-26
Kubernetes Dashboard 是一个基于 Web 的 UI 工具,用于管理 Kubernetes 集群。它包含了一些常用的管理功能,如查看 Pod、Deployment、Service 等资源的状态信息,以及进行一些基本的操作。 Kubernetes Dashboard ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值