二十一、Pod的安全策略

已于 2024-02-18 14:34:47 修改
阅读量514 收藏 7
点赞数 8
分类专栏: k8s 文章标签: kubernetes 容器 云原生
于 2024-02-16 16:11:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42171272/article/details/136113932
版权

       

目录

一、PodSecurityPolicy的工作机制 1.25已被弃用

1、Pod 安全策略 由设置和策略组成,它们能够控制 Pod 访问的安全特征。

2、使用流程

二、开启PodSecurityPolicy

 为了更精细的控制pod启动或者更新时的安全管理,kubernetes从1.5版本开始引入podSecurityPolicy资源对象对pod安全策略进行管理。podSecurityPolicy是集群范围内的资源对象,不属于命名空间范围。

一、PodSecurityPolicy的工作机制 1.25已被弃用

        若需要启用PodSecurityPolicy机制,则首先需要设置 kube-apiserver 服务的启动参数,

--enable-admission-plugins 来开启 PodSecurityPolicy 准入控制器 --enable-admission-plugins=PodSecurityPolicy

1、Pod 安全策略 由设置和策略组成,它们能够控制 Pod 访问的安全特征。

这些设置分为如下三类:

  • 基于布尔值控制 :这种类型的字段默认为最严格限制的值
  • 基于被允许的值集合控制 :这种类型的字段会与这组值进行对比,以确认值被允许
  • 基于策略控制 :设置项通过一种策略提供的机制来生成该值,这种机制能够确保指定的值落在被允许的这组值中。

2、使用流程

  1. 启用PSP准入控制器
  2. 创建PSP
  3. 创建ClusterRole或者Role授权PSP使用
  4. 创建ClusterRoleBinding或者RoleBinding

二、开启PodSecurityPolicy

1、开启pod安全策略
系统默认为:--enable-admission-plugins=NodeRestriction
添加:--enable-admission-plugins=PodSecurityPolicy
在开启PodSecurityPolicy准入控制器后,k8s默认不允许创建任何Pod,需要创建PodSecurityPolicy和RBAC授权策略,Pod才能创建成功。

2、测试:
vim test.yaml
apiVersion: v1
kind: Pod
metadata:
  name: test
spec:
  contsiners:
    name: nginx
    image: nginx:1.17.1
    imagePullPolicy: IfNotPresent
使用kubectl创建时候  会提示  禁止创建,

3、创建PodSecurityPolicy
vim psp.yaml
apiVersion: policy/v1beta1 
kind: PodSecurityPolicy
metadata:
  name: psp-non-privileged
spec:
  privileged: false  #不允许特权模式的Pod
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  runAsUser:
    rule: RunAsAny
  fsGroup:
    rule: RunAsAny
  volumes:
  - '*'
kubectl apply -f psp.yaml
查看psp
kubectl get psp  或者 kubectl get PodSecurityPolicy
此时就可以创建pod了。

上边的psp.yaml,设置了不允许创建特权的pod,例如,在下面的YAML配置文件pod-privileged.yaml中为Pod设置了特权模式:
apiVersion: v1
kind: Pod
metadata:
  name: nginx
spec:
  containers:
  - name: nginx
    image: nginx:latest
    imagePullPolicy: IfNotPresent
    ports:
    - containerPort: 80
    securityContext:
      privileged: true
此时创建时候就会报错,

繁华依在
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CKS学习笔记- PodSecurityPolicy练习
weixin_43394724的博客
10-19 421
什么是PodSecurityPolicyPodSecurityPolicy是一个内置的许可控制器,它允许集群管理员控制Pod规范的安全敏感方面。 首先,在集群中创建一个或多个PodSecurityPolicy资源,以定义pod必须满足的需求。然后,创建RBAC规则来控制哪个PodSecurityPolicy应用于给定的pod。 如果pod满足其PSP的要求,它将像往常一样被允许进入集群。在某些情况下,PSP还可以修改Pod字段,有效地为这些字段创建新的默认值。如果Pod不符合PSP要求,它将被拒绝,并且
podsecuritypolicy
yuyang4600的博客
11-05 2053
对不同的用户和组分配不同的PodSecurityPolicy PodSecurityPolicy是集群级别的资源,意味着他不能存储和应用在某一特定的命名空间上; 对不同的用户分配不同的PodSecurityPolicy是通过RBAC机制来实现的 k=kubetcl 首先,创建一个允许部署特权容器PodSecurityPolicy apiVersion: extensions/v1beta1 ki...
k8s PodSecurityPolicy
SHELLCODE_8BIT的博客
08-03 129
Configure a Security Context for a Pod or Container | Kubernetes
kubernetes--pod安全策略podSecurityPolicy
m0_57911290的博客
02-16 4283
Kubernetespod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。使用PSP对象定义一组pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被K8s接受。PodSecurityPolicyKubernetes v1.21 中被弃用, 在 Kubernetes v1.25 中被移除。
K8s Pod Security Policy实践
小楼一夜听春雨,深巷明朝卖杏花
07-10 2195
什么是 Pod 安全策略Pod 安全策略Pod Security Policy)是集群级别的资源,它能够控制 Pod 规约 中与安全性相关的各个方面。PodSecurityPolicy对象定义了一组 Pod 运行时必须遵循的条件及相关字段的默认值,只有 Pod 满足这些条件 才会被系统接受。 Pod 安全策略允许管理员控制如下方面: 控制的角度 字段名称 运行特权容器 privileged 使用宿主名字空间 hostPID、hostIPC 使用宿主的网络和端口 ...
kubernetes-psp:Pod安全策略
02-18
Kubernetes Pod安全策略 Minikube设置 minikube start --extra-config=apiserver.enable-admission-plugins=PodSecurityPolicy --addons=pod-security-policy 测试政策 首先,您需要删除默认的受限角色绑定。 这将使...
sysctl-kubernetes:详细介绍将SCCsPSP(安全上下文约束和pod安全策略)与要修改sysctl设置的容器部署一起使用的配置
03-15
Kubernetes中的等效项是Pod安全策略(PSP)。 概括 如果使用将sysctls作为部署的一部分进行修改,则此存储库中包含的SCC(可以轻松转换为Kubernetes的PSP)将减少可为部署中的initContainer /容器设置的权限/特权。...
psp-apparmor:Kubewarden Pod安全策略,用于控制AppArmor配置文件的使用
04-02
持续集成执照 该Kubewarden策略替代了控制使用情况的Kubernetes Pod安全策略。政策如何运作该策略通过定义允许的AppArmor配置文件的白名单来起作用。 然后在创建和更新时检查Pod,以确保仅使用批准的Profile。 如果...
kube-psp-advisor:帮助建立自适应且细粒度的pod安全策略
02-03
kube-psp-advisor是一个工具,可让您更轻松地从实时K8s环境或包含一个Pod规范(Deployment,DaemonSet,Pod等)的单个.yaml文件创建K8s Pod安全策略(PSP)。 它有2 kube-psp-advisor inspect命令, kube-psp-...
psp-allow-privilege-escalation:Kubewarden Pod安全策略,用于控制allowPrivilegeEscalation的使用
04-15
持续集成执照 该Kubewarden策略替代了Kubernetes Pod安全策略,该策略限制了的使用。政策如何运作此策略拒绝启用了allowPrivilegeEscalation安全上下文的所有allowPrivilegeEscalation 。 该策略还会检查init...
k8s安全机制:Pod Security PolicySecurity Context
风向决定发型丶的博客
11-03 729
自从首次引入 PodSecurityPolicy 以来, PSP 存在一些严重的可用性问题, 只有做出断裂式的改变才能解决。PodSecurityPolicy (PSP) 在 Kubernetes 1.21 中被弃用, 在Kubernetes v1.25会被移除。替代方案Pod Security Standard(Pod安全标准)。使用 Pod 安全标准的 PSP 来获得和目前 PSP 替代策略相似的功能。
Kubernetes PodSecurityPolicy 资源介绍
小楼一夜听春雨,深巷明朝卖杏花
08-16 536
限制pod使用安全相关的特性 已经介绍了如何在部署 pod时在任一宿主节点上做任何想做 的事。 比如, 部署一个特权模式的 pod 。 很明显, 需要有一种机制阻止用户使用其中的部分功能。 集群管理入员可以通过创建 PodSecurityPolicy资源来限制对以上提到的安全相关的特性的使用。 PodSecurityPolicy资源介绍 PodSecurityPolicy 是一种集群级别(无命名空间)的资源, 它定义了用户能否在 pod 中使用各种安全相关的特性。 维护 PodSecu
K8s进阶6——pod安全上下文,腾讯T2亲自教你
最新发布
m0_60732644的博客
04-05 1082
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
k8s资源之podSecurityPolicy
mark's technic world
01-09 1689
发布一个k8s部署视频:https://edu.csdn.net/course/detail/26967 课程内容:各种k8s部署方式。包括minikube部署,kubeadm部署,kubeasz部署,rancher部署,k3s部署。包括开发测试环境部署k8s,和生产环境部署k8s。 腾讯课堂连接地址https://ke.qq.com/course/478827?taid=4373109931...
由于以下错误 enterprise manager配置失败_Kubernetes Pod 安全策略(PSP)配置
weixin_39990410的博客
11-28 580
默认情况下,Kubernetes 允许创建一个有特权容器Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。PodSecurityPolicyKubernetes API 对象,你可以在不对 Kubernetes 进行任何修改的情况下创建它们,但是,默认情况下不会强制执行我们创建的一些策略...
kubernetes安全机制--Admission Control 准入控制
热门推荐
程序源234的专栏
07-29 1万+
引言当请求通过了前面的认证和授权之后,还需要经过准入控制处理通过之后,apiserver 才会处理这个请求。Admission Control 有一个准入控制列表,我们可以通过命令行设置选择执行哪几个准入控制器。只有所有的准入控制器都检查通过之后,apiserver 才执行该请求,否则返回拒绝。
k8s的Pod安全策略
weixin_38320674的博客
08-09 2442
微信公众号搜索 DevOps和k8s全栈技术 ,即可关注公众号,也可扫描文章最后的二维码关注公众号,每天会分享技术文章供大家阅读参考哈~前言PodSecurityPolicy类型的对象能...
带你玩转kubernetes-k8s(第41篇:深入分析集群安全机制四[Secret, PodSecurityPolicy])
坚持的道路注定孤独
08-14 4209
Secret私密凭据 上一节提刀Secret对象,Secret的主要作用是保管私密数据,比如密码、OAuth Tokens、 SSH Key等信息。将这些私密信息放在Secret对象中比直接放在Pod或Docker Image中更安全,也更便于使用和分发。 下面的例子用于创建一个Secret: apiVersion: v1 kind: Secret metadata: n...
Kubernetes PodSecurityPolicy
来啊 快活啊
02-01 1837
参考 Enforcing cluster-wide policies for a Kubernetes-based Docker cluster Pod 安全策略 Kubernetes-深入分析集群安全机制 Kubernetes 部署的最佳安全实践
Cisco ACI Multi-Pod Design and Deployment
07-25
7. **网络服务整合**:阐述了如何在多pod环境中整合各种网络服务,如防火墙、负载均衡和安全策略,以优化整体网络性能。 8. **迁移场景**:探讨了从传统网络向ACI Multi-Pod迁移的潜在步骤和注意事项,包括策略迁移...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

繁华依在

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值