kubernetes--pod安全策略(podSecurityPolicy)

已于 2023-02-16 23:44:30 修改
阅读量4.2k 收藏 1
点赞数
分类专栏: kubenetes 文章标签: kubernetes docker 容器 Powered by 金山文档
于 2023-02-16 23:42:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57911290/article/details/129075073
版权

podSecurityPolicy简介:

Kubernetes中pod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。使用PSP对象定义一组pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被K8s接受。

PodSecurityPolicy 在 Kubernetes v1.21 中被弃用, 在 Kubernetes v1.25 中被移除。

pod安全策略限制维度

配置项

描述

privileged

启动特权容器。

hostPID,hostIPC

hostPID,hostIPC

hostNetwork,hostPorts

使用主机网络和端口。

volumes

允许使用的挂载卷类型。

allowedHostPaths

允许hostPath类型挂载卷在主机上挂载的路径,通过pathPrefix字段声 明允许挂载的主机路径前缀组。

allowedFlexVolumes

允许使用的指定FlexVolume驱动。

fsGroup

配置Pod中挂载卷使用的辅组ID。

readOnlyRootFilesystem

约束启动Pod使用只读的root文件系统。

runAsUser,runAsGroup,supplementalGroups

指定Pod中容器启动的用户ID以及主组和辅组ID。

allowPrivilegeEscalation, defaultAllowPrivilegeEscalation

约束Pod中是否允许配置allowPrivilegeEscalation=true,该配置会控 制setuid的使用,同时控制程序是否可以使用额外的特权系统调用。

defaultAddCapabilities, requiredDropCapabilities,allowedCapabilities

控制Pod中使用的Linux Capabilities。

seLinux

控制Pod使用seLinux配置。

allowedProcMountTypes

控制Pod允许使用的ProcMountTypes。

annotations

配置Pod中容器使用的AppArmor或seccomp。

forbiddenSysctls,allowedUnsafeSysctls

控制Pod中容器使用的sysctl配置

PSP的启用

Pod安全策略实现为一个准入控制器,默认没有启用,当启用后会强制实施 Pod安全策略,没有满足的Pod将无法创建。因此,建议在启用PSP之前先添加 策略并对其授权。

启用Pod安全策略:

vi/etc/kubernetes/manifests/kube-apiserver.yaml

...

- --enable-admission-plugins=NodeRestriction,PodSecurityPolicy

...

systemctl restart kubelet

PSP流程

用户使用SA (ServiceAccount)创建了一个Pod,K8s会先验证这个SA是否可以访问PSP资源权限,如果可以进一步验证Pod配置是否满足PSP规则,任 意一步不满足都会拒绝部署。

因此,需要实施需要有这几点:管理员不受限制

• 创建SA服务账号

• 该SA需要具备创建对应资源权限,例如创建Pod、Deployment

• SA使用PSP资源权限:创建Role,使用PSP资源权限,再将SA绑定Role

示例1:禁止创建特权模式的Pod

# 创建SA

kubectl create serviceaccount aliang

# 将SA绑定到系统内置Role

kubectl create rolebinding aliang--clusterrole=edit --serviceaccount=default:aliang

#通过sa创建资源

kubectl--as=system:serviceaccount:default:aliang create deployment web1 --image=nginx

启用psp后即使无策略,默认禁止创建pod,必须配置psp策略

#创建策略

apiVersion: policy/v1beta1 
kind: PodSecurityPolicy
metadata:
  name: psp-example
spec:
  privileged: false  #不允许特权pod,正常pod会允许
#下面是一些必要的字段,都是允许
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  runAsUser:
    rule: RunAsAny
  fsGroup:
    rule: RunAsAny
  volumes:
  - '*'

# 创建使用PSP权限的Role

【】kubectl create role psp:unprivileged--verb=use --resource=podsecuritypolicy --resource-name=psp-example

# 将SA绑定到Role

【】kubectl create rolebindingaliang:psp:unprivileged --role=psp:unprivileged --serviceaccount=default:aliang

【】kubectl--as=system:serviceaccount:default:aliang run nginx4 --image=nginx

创建deploy

无法创建,创建deploy成功replicaset无法成功,但replicaset无法成功,因为创建deploy会默认创建replicaset会默认使用default这个sa,需要给这个sa增加psp的授权

2个方案 1deploy创建时指定使用的服务账号sa 2将default这个sa绑定到psp上

kubectl create rolebinding default:psp:unprivileged--role=psp:unprivileged --serviceaccount=default:default

尝试创建特权pod,无法创建。因为psp策略限制了特权容器

【】cat cap.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: pod-psp2
spec:
  containers:
  - name: test
    image: busybox
    command:
    - sleep
    -  24h
    securityContext:
      privileged: true
【】kubectl apply -f cap.yaml

示列2:禁止没指定普通用户运行的容器(runAsUser)

意思是所有创建的pod必须指定普通用户才能运行

apiVersion: policy/v1beta1 
kind: PodSecurityPolicy
metadata:
  name: psp-example
spec:
  privileged: false  #不允许特权pod,正常pod会允许
#下面是一些必要的字段,都是允许
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  runAsUser:
    rule: MustRunAsNonRoot
  fsGroup:
    rule: RunAsAny
  volumes:
  - '*'

创建时不指定用户账号则会报

弓长丿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【云原生--KubernetesPod重启策略
夏颜的博客
08-03 2478
引言:在k8s集群中,当某个pod资源需要重启时,我们只会对其进行删除,由其pod控制器进行重新构建。k8s集群的自愈也是对资源的一个重新构建,。我们,那么k8s集群在对资源进行管理时,其“重启”规则又是什么呢?......
kubernetes-psp:Pod安全策略
02-18
minikube start --extra-config=apiserver.enable-admission-plugins=PodSecurityPolicy --addons=pod-security-policy 测试政策 首先,您需要删除默认的受限角色绑定。 这将使您清楚地了解事物的工作方式。 ...
Kubernetes Pod Security Policies (PSP)解析
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-10 343
Pod Security Policies (PSP) 是 Kubernetes 中一个已经废弃的功能,它曾用于控制Pod及其容器的运行时安全属性,比如容器是否能运行在特权模式下、是否能使用特定的Linux功能、挂载什么样的卷等。PSP作为一种集群级别的策略,帮助管理员定义了一系列规则,以确保Pod按照组织的安全标准运行。
Kubernetes--安全认证
Hud的博客
05-07 191
1、 访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种**客户端**进行**认证和鉴权**操作。 客户端 在Kubernetes集群中,客户端通常有两类: ● User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。 ● Service Account:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识...
01-kubernetes-faq-pod状态异常排查
段帅星的博客
08-03 2209
一、集群方面 二、应用层面
九、Kubernetes - 安全认证
Pangpangbupang.
03-22 251
目录 1. 访问控制概述 客户端 认证、授权和准入控制 2. 认证管理 HTTPS认证大体分为3个过程 3. 授权管理 Role、ClusterRole RoleBinding、ClusterRoleBinding RoleBinding引用ClusterRole进行授权 案例:创建一个只能管理dev空间下Pods资源的账号 4. 准入控制 1. 访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要任务,所谓安全性其实就是保证对Kuber..
Kubernetes 集群启用 Pod 安全策略
云原生实验室
04-06 665
最近有客户反馈在开启了安全策略的集群中部署产品失败,因此研究了一下 Kubernetes 提供的 pod 安全策略。文中的演示和示例均在 v1.18.17 集群中通过验证。Pod Security PoliciesPod Security Policies (下文简称 psp 或 pod 安全策略)是一种集群级别的全局资源,能够对 pod 的创建和更新进行细粒度的授权控制...
26-Kubernetes-安全认证
小白的博客
05-25 143
Kubernetes-安全认证
Kubernetes:创建和分配Kubernetes Pod安全策略
琦彦
05-19 3588
Pod Security Policies(PSP) Pod Security Policies(PSP)是集群级的Pod安全策略,自动为集群内的Pod和Volume设置Security Context。 使用PSP需要API Server开启extensions/v1beta1/podsecuritypolicy,并且配置PodSecurityPolicyadmission控制器。 Pod安全策略配置 Pod 安全策略是集群级别的资源,它能够控制 Pod 运行的行为,以及它具有访问什么的能.
kubernetes-Pod安全策略psp实践-非原创-方便自己查看
weixin_46010524的博客
06-13 224
使用PSP安全策略psp策略定义好之后还需要再创建role,把psp策略绑定到role上,再将role绑定到serviceaccount,再在Pod中使用serviceaccount。还有几个必要条件:1、在apiserver启动参数 --enable-admission-plugins 中要加上 PodSecurityPolicy 选项,默认是没有启用的。
Kubernetes 中的 Pod 安全策略
alauda_andy的博客
05-11 833
很多人分不清 SecurityContext 和 PodSecurityPolicy 这两个关键字的差别,其实很简单: •SecurityContext 是 Pod 中的一个字段,而 PSP 是一个独立的资源类型。 •SecurityContext 是 Pod 自身对安全上下文的声明; 而 PSP 则是强制实施的——不合规矩的 Pod 无法创建。 PSP 的用法和 RBAC 是紧密相关的,换句话说,应用 PSP 的基础要求是: •不同运维人员的操作账号需要互相隔离并进行单独授权。 •不同命名空间,不同 S.
kubernetes-oom-event-generator:当Pod容器被OOMKilled后,生成Kubernetes事件
02-03
如果Pod的LastTerminationState引用OOM,则控制器将发出Kubernetes事件,该事件的级别为Warning ,原因为PreviousContainerWasOOMKilled 。用法Usage: kubernetes-oom-event-generator [OPTIONS]Application ...
kubernetes-server-linux-amd64.tar
01-17
在实际应用中,"kubernetes-server-linux-amd64.tar"的部署并不止于基本的安装,还包括配置自定义的存储解决方案(如持久卷)、服务发现、负载均衡、自动扩展、安全策略等。Kubernetes的生态系统丰富,包括Ingress、...
kubernetes-server-linux-amd64.tar.gz 安装包
08-28
3. **kube-scheduler**:调度器根据资源需求、策略和其他因素将未调度的PodKubernetes的基本运行单元)分配到合适的节点上。 4. **kube-controller-manager**:控制器管理器是一个包含了多个“控制器”的进程,如...
kubernetes-server-linux-amd64.tar.gz
08-28
3. **kube-scheduler**:负责决定哪个节点应该运行新的PodKubernetes的基本调度单元)。 4. **kube-controller-manager**:包含多个控制器,如ReplicationController,NodeController等,用于处理集群的自动控制...
k8s核心知识总结
最新发布
weixin_37172178的博客
07-25 1722
容器和镜像的关系可以理解为对象和类,或者java代码和java进程build:通过dockerfile 创建一个镜像tag:镜像本身可以进行版本迭代push/pull:类似git的中央仓库,可以用来提交镜像文件(包括公有和私有)load/save:拥有本地传输镜像文件run/commit:镜像运行一个容器实例,或者提交一个镜像文件start/stop:运行或停止一个容器
175道Docker面试题(上)
weixin_62922268的博客
07-22 1650
Docker是一个容器化平台,以容器的形式将我们的应用程序及其所有依赖项打包在一起,以确保我们的应用程序在任何环境中无缝运行,可以理解为一个应用打包、分发、部署的工具。我们也可以把它理解为一个轻量的虚拟机,Docker只虚拟我们的软件需要的运行环境,多余的一点都不要,而普通虚拟机则是一个完整而庞大的系统,包含各种不管我们要不要的软件。
如何将整个运行环境打包成docker
lhjllff12345的专栏
07-24 558
将tomcat+redis+zookeeper的项目打包为一个docker镜像并进行运行
kubernetes-client java 获取pod 容器内存与cpu使用率
09-01
要使用kubernetes-client java获取pod容器内存与CPU使用率,可以按照以下步骤进行操作。 首先,你需要在Java项目中添加kubernetes-client的依赖,例如在pom.xml文件中添加以下代码: ```xml <dependencies> <dependency> <groupId>io.kubernetes</groupId> <artifactId>client-java</artifactId> <version>9.0.0</version> </dependency> </dependencies> ``` 接下来,你可以使用以下代码获取pod的相关信息: ```java import io.kubernetes.client.apis.CoreV1Api; import io.kubernetes.client.custom.Quantity; import io.kubernetes.client.models.V1Container; import io.kubernetes.client.models.V1ContainerStatus; import io.kubernetes.client.models.V1NamespaceList; import io.kubernetes.client.models.V1Pod; import io.kubernetes.client.models.V1PodList; import io.kubernetes.client.models.V1PodMetrics; import io.kubernetes.client.models.V1PodMetricsList; import io.kubernetes.client.util.Config; import java.util.Map; public class KubernetesClientExample { public static void main(String[] args) throws Exception { // 创建Kubernetes客户端 io.kubernetes.client.Configuration config = Config.defaultClientConfig(); io.kubernetes.client.apis.CoreV1Api api = new CoreV1Api(); // 获取pod列表 V1PodList podList = api.listPodForAllNamespaces(null, null, null, null, null, null, null, null, null); for (V1Pod pod : podList.getItems()) { // 获取pod所属的命名空间和名称 String namespace = pod.getMetadata().getNamespace(); String name = pod.getMetadata().getName(); // 获取pod容器列表和相关状态信息 for (V1Container container : pod.getSpec().getContainers()) { String containerName = container.getName(); V1ContainerStatus containerStatus = pod.getStatus().getContainerStatuses().stream() .filter(status -> status.getName().equals(containerName)) .findFirst().orElse(null); if (containerStatus != null) { // 获取容器的CPU和内存使用率 Map<String, Quantity> usage = containerStatus.getUsage(); Quantity cpuUsage = usage.get("cpu"); Quantity memoryUsage = usage.get("memory"); System.out.println("Namespace: " + namespace + ", Pod: " + name + ", Container: " + containerName + ", CPU Usage: " + cpuUsage + ", Memory Usage: " + memoryUsage); } } } } } ``` 上述代码中,我们首先创建了Kubernetes的客户端,然后通过CoreV1Api实例来获取pod列表。对于每个pod,我们遍历其容器列表,并获取容器的名称以及相关状态信息。在状态信息中,我们可以找到容器的CPU和内存使用率,以及其他相关指标。 需要注意的是,这里获取的是当前时刻的使用率数据,如果你想要定时获取容器的使用率信息,可以使用定时任务等方法来实现。 这是一个简单的示例,你可以根据实际需求和项目结构进行相应的扩展和修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值