@toc
启用Pod安全策略
# 编辑kube-apiserver.yaml
vim /etc/kubernetes/manifests/kube-apiserver.yaml
# 启用pod安全策略,在kube-apiserver.yaml添加以下参数
- --enable-admission-plugins=NodeRestriction,PodSecurityPolicy
# 重启kubelet服务
systemctl restart kubelet
禁止创建特权模式pod
# 在默认命名空间中创建服务账户aliang
kubectl create sa aliang
# 将SA绑定到系统内置Role
kubectl create rolebinding aliang --clusterrole=edit --sa=default:aliang
# 创建使用PSP权限到Role
kubectl create role psp:unprivileged --verb=use --resource=podsecuritypolicy --resource-name=psp-example
# 将SA绑定到Role
kubectl create rolebinding aliang:psp:unprivileged --role=psp:unprivileged --sa=default:aliang