CKS学习笔记- PodSecurityPolicy练习

最新推荐文章于 2024-05-10 19:02:53 发布
最新推荐文章于 2024-05-10 19:02:53 发布
阅读量422 收藏
点赞数
分类专栏: Kubernetes 云原生 CKS 文章标签: cks
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43394724/article/details/120850707
版权
CKS 同时被 3 个专栏收录
9 篇文章 7 订阅 ¥9.90 ¥99.00
订阅专栏 超级会员免费看
Kubernetes
18 篇文章 2 订阅
订阅专栏
云原生
17 篇文章 0 订阅
订阅专栏

什么是PodSecurityPolicy?

PodSecurityPolicy是一个内置的许可控制器,它允许集群管理员控制Pod规范的安全敏感方面。

首先,在集群中创建一个或多个PodSecurityPolicy资源,以定义pod必须满足的需求。然后,创建RBAC规则来控制哪个PodSecurityPolicy应用于给定的pod。

如果pod满足其PSP的要求,它将像往常一样被允许进入集群。在某些情况下,PSP还可以修改Pod字段,有效地为这些字段创建新的默认值。如果Pod不符合PSP要求,它将被拒绝,并且无法运行。

Pod 安全策略 由设置和策略组成,它们能够控制 Pod 访问的安全特征。这些设置分为如下三类:

  • 基于布尔值控制 :这种类型的字段默认为最严格限制的值。
  • 基于被允许的值集合控制 :这种类型的字段会与这组值进行对比,以确认值被允许。
  • 基于策略控制 :设置项通过一种策略提供的机制来生成该值,这种机制能够确保指定的值落在被允许的这组值中。

PSP弃用计划

Kubernetes 1.21中不推荐使用PodSecurityPolicy(PSP)。这将开始倒数计时,但不会改变任何其他内容。

PodSecurityPolicy在被完全删除之前,将继续在多个版本中完全发挥功能。同时,Kubernetes官方正在开发一种PSP的替代品,它更容易和可持续地覆盖关键用例。

目前的计划是在1.25版本中从Kubernetes中删除PSP。

示例

利用PSP防止在特定namespace产

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Etaon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
k8s篇之Pod 安全策略
不务正业随手记
03-04 1629
默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod的安全策略进行管理。
K8s Pod Security Policy实践
小楼一夜听春雨,深巷明朝卖杏花
07-10 2202
什么是 Pod 安全策略? Pod 安全策略(Pod Security Policy)是集群级别的资源,它能够控制 Pod 规约 中与安全性相关的各个方面。PodSecurityPolicy对象定义了一组 Pod 运行时必须遵循的条件及相关字段的默认值,只有 Pod 满足这些条件 才会被系统接受。 Pod 安全策略允许管理员控制如下方面: 控制的角度 字段名称 运行特权容器 privileged 使用宿主名字空间 hostPID、hostIPC 使用宿主的网络和端口 ...
Kubernetes Pod Security Policies (PSP)解析
最新发布
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-10 343
Pod Security Policies (PSP) 是 Kubernetes 中一个已经废弃的功能,它曾用于控制Pod及其容器的运行时安全属性,比如容器是否能运行在特权模式下、是否能使用特定的Linux功能、挂载什么样的卷等。PSP作为一种集群级别的策略,帮助管理员定义了一系列规则,以确保Pod按照组织的安全标准运行。
K8S Pod 新安全策略 Pod Security Admission 介绍 | K8S Internals 系列第一期
BoCloud博云
04-06 2667
容器编排之争在 Kubernetes 一统天下局面形成后,K8S 成为了云原生时代的新一代操作系统。K8S 让一切变得简单了,但自身逐渐变得越来越复杂。【K8S Internals 系列专栏】围绕 K8S 生态的诸多方面,将由博云容器云研发团队定期分享有关调度、安全、网络、性能、存储、应用场景等热点话题。希望大家在享受 K8S 带来的高效便利的同时,又可以如庖丁解牛般领略其内核运行机制的魅力。
k8s安全机制:Pod Security PolicySecurity Context
风向决定发型丶的博客
11-03 814
自从首次引入 PodSecurityPolicy 以来, PSP 存在一些严重的可用性问题, 只有做出断裂式的改变才能解决。PodSecurityPolicy (PSP) 在 Kubernetes 1.21 中被弃用, 在Kubernetes v1.25会被移除。替代方案Pod Security Standard(Pod安全标准)。使用 Pod 安全标准的 PSP 来获得和目前 PSP 替代策略相似的功能。
kubernetes--pod安全策略(podSecurityPolicy
m0_57911290的博客
02-16 4295
Kubernetes中pod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。使用PSP对象定义一组pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被K8s接受。PodSecurityPolicy 在 Kubernetes v1.21 中被弃用, 在 Kubernetes v1.25 中被移除。
CKS - Practise - Immutable.docx
04-29
CKS - Practise Immutable Resource
CKS - Practise - ImageWebHook.docx
04-29
在Kubernetes环境中,CKS(Certified Kubernetes Security Specialist)考试中的一个重要话题是关于"ImagePolicyWebhook"的实践。ImagePolicyWebhook是Kubernetes的一种准入控制器,它允许管理员定义策略来控制部署...
CKS - Practise - NetPol.docx
04-29
CKS - Practise - NetPol
CKS - Practise - PSP and Audit.docx
04-29
CKS - Practise PSP and Audit
CKS - Practise - RBAC adn Kubesec.docx
04-29
CKS(Certified Kubernetes Security Specialist)练习涉及到对RBAC和Kubesec工具的使用,来增强Pod的安全配置。 首先,`kubesec`工具是用来扫描Pod定义模板,以检查其是否符合Kubernetes的安全最佳实践。在例子中...
podsecuritypolicy
yuyang4600的博客
11-05 2056
对不同的用户和组分配不同的PodSecurityPolicy PodSecurityPolicy是集群级别的资源,意味着他不能存储和应用在某一特定的命名空间上; 对不同的用户分配不同的PodSecurityPolicy是通过RBAC机制来实现的 k=kubetcl 首先,创建一个允许部署特权容器的PodSecurityPolicy apiVersion: extensions/v1beta1 ki...
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 3339
1、pod安全上下文Security Context,特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
K8s进阶6——pod安全上下文,腾讯T2亲自教你
m0_60732644的博客
04-05 1125
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Kubernetes PodSecurityPolicy 资源介绍
小楼一夜听春雨,深巷明朝卖杏花
08-16 539
限制pod使用安全相关的特性 已经介绍了如何在部署 pod时在任一宿主节点上做任何想做 的事。 比如, 部署一个特权模式的 pod 。 很明显, 需要有一种机制阻止用户使用其中的部分功能。 集群管理入员可以通过创建 PodSecurityPolicy资源来限制对以上提到的安全相关的特性的使用。 PodSecurityPolicy资源介绍 PodSecurityPolicy 是一种集群级别(无命名空间)的资源, 它定义了用户能否在 pod 中使用各种安全相关的特性。 维护 PodSecu
Kubernetes Pod Security Policies详解
爱死亡机器人
06-01 1418
版本 功能状态: Kubernetes v1.21 [deprecated] PodSecurityPolicy 自 Kubernetes v1.21 起已弃用,并将在 v1.25 中删除。 Pod 安全策略启用对 Pod 创建和更新的细粒度授权 介绍 PodSecurityPolicy对象定义一组条件,一个pod必须以被接受进入系统,以及用于相关字段默认值运行。它们允许管理员控制以下内容: 运行特权容器 privileged 主机命名空间的使用 hostPID, hostIPC 主机网
k8s实战之资源和命令
12-17
介绍主要的k8s资源的使用配置和命令。包括configmap,pod,service,replicaset,namespace,deployment,daemonset,ingress,pv,pvc,sc,role,rolebinding,clusterrole,clusterrolebinding,secret,serviceaccount,statefulset,job,cronjob,podDisruptionbudget,podSecurityPolicy,networkPolicy,resourceQuota,limitrange,endpoint,event,conponentstatus,node,apiservice,controllerRevision等。
二十一、Pod的安全策略
爱吃西红柿的博客
02-16 520
为了更精细的控制pod启动或者更新时的安全管理,kubernetes从1.5版本开始引入podSecurityPolicy资源对象对pod安全策略进行管理。podSecurityPolicy是集群范围内的资源对象,不属于命名空间范围。
2021 CKA-CKS备考策略:官方资源与实战指南
在准备2021年的CKA-CKS(Kubernetes管理员/专家)认证考试时,这份备考攻略提供了全面的学习指南和策略。首先,让我们深入了解这两个认证: 1. **CKA (Certified Kubernetes Administrator)**: 作为认证的管理员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值