CKS学习笔记- PodSecurityPolicy练习

最新推荐文章于 2024-05-10 19:02:53 发布
最新推荐文章于 2024-05-10 19:02:53 发布
阅读量444 收藏
点赞数
分类专栏: Kubernetes 云原生 CKS 文章标签: cks
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43394724/article/details/120850707
版权
CKS 同时被 3 个专栏收录
9 篇文章 8 订阅 ¥9.90 ¥99.00
订阅专栏 超级会员免费看
Kubernetes
18 篇文章 2 订阅
订阅专栏
云原生
17 篇文章 0 订阅
订阅专栏
本文介绍了PodSecurityPolicy(PSP)的概念,它是Kubernetes中控制Pod安全性的控制器,允许集群管理员定义Pod规范的安全要求。PSP通过布尔值、允许值集合和策略控制来设定限制。随着Kubernetes 1.21版本不推荐使用PSP,将在1.25版本中删除。文章还提供了一个示例,展示了如何使用PSP防止在特定namespace创建特权Pod,并详细说明了启用PSP准入控制器和创建PSP对象的步骤。
摘要由CSDN通过智能技术生成

什么是PodSecurityPolicy?

PodSecurityPolicy是一个内置的许可控制器,它允许集群管理员控制Pod规范的安全敏感方面。

首先,在集群中创建一个或多个PodSecurityPolicy资源,以定义pod必须满足的需求。然后,创建RBAC规则来控制哪个PodSecurityPolicy应用于给定的pod。

如果pod满足其PSP的要求,它将像往常一样被允许进入集群。在某些情况下,PSP还可以修改Pod字段,有效地为这些字段创建新的默认值。如果Pod不符合PSP要求,它将被拒绝,并且无法运行。

Pod 安全策略 由设置和策略组成,它们能够控制 Pod 访问的安全特征。这些设置分为如下三类:

  • 基于布尔值控制 :这种类型的字段默认为最严格限制的值。
  • 基于被允许的值集合控制 :这种类型的字段会与这组值进行对比,以确认值被允许。
  • 基于策略控制 :设置项通过一种策略提供的机制来生成该值,这种机制能够确保指定的值落在被允许的这组值中。

PSP弃用计划

Kubernetes 1.21中不推荐使用PodSecurityPolicy(PSP)。这将开始倒数计时,但不会改变任何其他内容。

PodSecu

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Etaon
关注
专栏目录
订阅专栏
二十一、Pod的安全策略
爱吃西红柿的博客
02-16 570
为了更精细的控制pod启动或者更新时的安全管理,kubernetes从1.5版本开始引入podSecurityPolicy资源对象对pod安全策略进行管理。podSecurityPolicy是集群范围内的资源对象,不属于命名空间范围。
CKS学习笔记-Secret 练习
weixin_43394724的博客
10-21 214
官网有关信息https://kubernetes.io/zh/docs/concepts/configuration/secret/ 概述 什么是Secret Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes 和
podsecuritypolicy
yuyang4600的博客
11-05 2082
对不同的用户和组分配不同的PodSecurityPolicy PodSecurityPolicy是集群级别的资源,意味着他不能存储和应用在某一特定的命名空间上; 对不同的用户分配不同的PodSecurityPolicy是通过RBAC机制来实现的 k=kubetcl 首先,创建一个允许部署特权容器的PodSecurityPolicy apiVersion: extensions/v1beta1 ki...
K8S学习指南(39)-k8s权限管理对象 PodSecurityPolicy
俞兆鹏的博客
12-25 1135
通过本文,我们深入了解了Kubernetes中权限管理对象PodSecurityPolicy的基本概念、创建方式,并通过详细的示例演示了如何手动创建PodSecurityPolicy,并将其与Role和RoleBinding关联,以实现对Pod的安全控制。在示例中,我们将演示如何手动创建一个PodSecurityPolicy,并将其与集群中的Role和RoleBinding关联,以实现对Pod的安全控制。的PodSecurityPolicy,定义了一系列安全规则,包括不允许特权容器、禁止使用主机网络等。
kubernetes--pod安全策略(podSecurityPolicy
m0_57911290的博客
02-16 4365
Kubernetes中pod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。使用PSP对象定义一组pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被K8s接受。PodSecurityPolicy 在 Kubernetes v1.21 中被弃用, 在 Kubernetes v1.25 中被移除。
K8s Pod Security Policy实践
小楼一夜听春雨,深巷明朝卖杏花
07-10 2265
什么是 Pod 安全策略? Pod 安全策略(Pod Security Policy)是集群级别的资源,它能够控制 Pod 规约 中与安全性相关的各个方面。PodSecurityPolicy对象定义了一组 Pod 运行时必须遵循的条件及相关字段的默认值,只有 Pod 满足这些条件 才会被系统接受。 Pod 安全策略允许管理员控制如下方面: 控制的角度 字段名称 运行特权容器 privileged 使用宿主名字空间 hostPID、hostIPC 使用宿主的网络和端口 ...
CKS学习笔记-NetworkPolicy练习
weixin_43394724的博客
10-18 295
网络策略 官网解释https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/: 如果希望在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量, 则可以考虑为集群中特定应用使用 Kubernetes 网络策略(NetworkPolicy)。 NetworkPolicy 是一种以应用为中心的结构,允许你设置如何允许 Pod 与网络上的各类网络“实体” 通信。 Pod 可以通信的 Pod 是通过如下
CKS学习笔记-ServiceAccount练习
weixin_43394724的博客
10-11 263
本实验实现不给服务账号自动挂载 API 凭据并应用到Pod Service Account Kubernetes 区分用户账户和服务账户的概念主要基于以下原因: • 用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。 • 用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。 • 通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流
CKS学习笔记--AppArmor
weixin_43394724的博客
12-14 1391
介绍 AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。 简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的Linux内核中。 目前Ubuntu已自带了Apparmor。 AppArmor配置文
k8s安全机制:Pod Security PolicySecurity Context
风向决定发型丶的博客
11-03 982
自从首次引入 PodSecurityPolicy 以来, PSP 存在一些严重的可用性问题, 只有做出断裂式的改变才能解决。PodSecurityPolicy (PSP) 在 Kubernetes 1.21 中被弃用, 在Kubernetes v1.25会被移除。替代方案Pod Security Standard(Pod安全标准)。使用 Pod 安全标准的 PSP 来获得和目前 PSP 替代策略相似的功能。
pod-security-admission:一个Kubernetes准入网络挂钩,以确保Pod安全标准
04-08
豆荚安全入场 项目状态:开发中 pod-security-admission是确保 一组 。 pod-security-admission旨在成为的简单替代品。 这不是策略引擎,用户无法灵活地编写自己的策略。 如果要这样做,建议您使用诸如和类的策略引擎。 入门 请参阅部署pod-security-admission到你Kubernetes集群。 政策规定 pod-security-admission根据Pod安全标准提供3种策略类型。 特权 Privileged是完全不受限制的策略。 准入webhook对带有Privileged标签的名称空间中的Pod无效。 该策略应应用于作为Kubernetes集群核心组件的Pod,例如网络插件。 此策略将应用于带有以下标签的属于名称空间的Pod: apiVersion : v1 kind : Namespace metadata : nam
Kubernetes PodSecurityPolicy 资源介绍
小楼一夜听春雨,深巷明朝卖杏花
08-16 572
限制pod使用安全相关的特性 已经介绍了如何在部署 pod时在任一宿主节点上做任何想做 的事。 比如, 部署一个特权模式的 pod 。 很明显, 需要有一种机制阻止用户使用其中的部分功能。 集群管理入员可以通过创建 PodSecurityPolicy资源来限制对以上提到的安全相关的特性的使用。 PodSecurityPolicy资源介绍 PodSecurityPolicy 是一种集群级别(无命名空间)的资源, 它定义了用户能否在 pod 中使用各种安全相关的特性。 维护 PodSecu
k8s PodSecurityPolicy
SHELLCODE_8BIT的博客
08-03 157
Configure a Security Context for a Pod or Container | Kubernetes
Kubernetes Pod Security Policies详解
爱死亡机器人
06-01 1492
版本 功能状态: Kubernetes v1.21 [deprecated] PodSecurityPolicy 自 Kubernetes v1.21 起已弃用,并将在 v1.25 中删除。 Pod 安全策略启用对 Pod 创建和更新的细粒度授权 介绍 PodSecurityPolicy对象定义一组条件,一个pod必须以被接受进入系统,以及用于相关字段默认值运行。它们允许管理员控制以下内容: 运行特权容器 privileged 主机命名空间的使用 hostPID, hostIPC 主机网
Kubernetes Pod Security Policies (PSP)解析
最新发布
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-10 417
Pod Security Policies (PSP) 是 Kubernetes 中一个已经废弃的功能,它曾用于控制Pod及其容器的运行时安全属性,比如容器是否能运行在特权模式下、是否能使用特定的Linux功能、挂载什么样的卷等。PSP作为一种集群级别的策略,帮助管理员定义了一系列规则,以确保Pod按照组织的安全标准运行。
k8s篇之Pod 安全策略
不务正业随手记
03-04 1961
默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod的安全策略进行管理。
K8s进阶6——pod安全上下文,腾讯T2亲自教你
m0_60732644的博客
04-05 1278
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
K8S Pod 新安全策略 Pod Security Admission 介绍 | K8S Internals 系列第一期
BoCloud博云
04-06 2711
容器编排之争在 Kubernetes 一统天下局面形成后,K8S 成为了云原生时代的新一代操作系统。K8S 让一切变得简单了,但自身逐渐变得越来越复杂。【K8S Internals 系列专栏】围绕 K8S 生态的诸多方面,将由博云容器云研发团队定期分享有关调度、安全、网络、性能、存储、应用场景等热点话题。希望大家在享受 K8S 带来的高效便利的同时,又可以如庖丁解牛般领略其内核运行机制的魅力。
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 4027
1、pod安全上下文Security Context,特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
2021 CKA-CKS备考策略:官方资源与实战指南
在准备2021年的CKA-CKS(Kubernetes管理员/专家)认证考试时,这份备考攻略提供了全面的学习指南和策略。首先,让我们深入了解这两个认证: 1. **CKA (Certified Kubernetes Administrator)**: 作为认证的管理员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值