Linux企业运维——Kubernetes(十四)PSP安全策略

最新推荐文章于 2023-12-25 07:15:00 发布
最新推荐文章于 2023-12-25 07:15:00 发布
阅读量705 收藏
点赞数
分类专栏: Linux企业运维实战 文章标签: kubernetes 运维 安全 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44310047/article/details/119483869
版权

Linux企业运维——Kubernetes(十四)PSP安全策略

文章目录

一、PSP安全策略简介

PodSecurityPolicy(简称PSP)是Kubernetes中Pod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。

默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。

二、PSP安全策略配置

1、编辑API配置文件,在准入控制项中加入PSP模块(多个模块用,隔开)
在这里插入图片描述
在这里插入图片描述
2、变更该文件后k8s会自动重载,查看6443端口开放表明重载完毕
在这里插入图片描述
3、使用nginx镜像创建一个pod,查看pod可以看到该pod无法运行,状态为Error
在这里插入图片描述
在这里插入图片描述
4、查看创建的pod的日志,可以看到出现pod资源权限过大的报错,这是因为我们在为集群引入PSP后没有进行准入控制
在这里插入图片描述
5、新建psp目录,编辑yaml文件,设置一个psp策略示例
在这里插入图片描述
在这里插入图片描述
6、应用yaml文件,查看psp可以看到策略设置成功
在这里插入图片描述
7、新建yaml文件创建角色,对该角色应用创建的psp,创建RoleBinding将这一角色与默认命名空间中的默认SA账户default绑定(因为创建Pod时默认使用default账户进行认证)
在这里插入图片描述

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: psp-example
rules:
- apiGroups:
  - extensions
  resources:
  - podsecuritypolicies
  resourceNames:
  - example
  verbs:
  - use

---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: bind-psp-example
  namespace: default
roleRef:
  kind: Role
  name: psp-example
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: ServiceAccount
  name: default
  namespace: default

在这里插入图片描述
8、删除之前创建的pod,重新创建一个pod,查看该pod成功运行就绪
在这里插入图片描述
9、但上面所设置的psp策略所开放的权限过大,这里我们删除创建的角色、绑定关系,删除创建的psp,新建子目录new,编辑yaml文件创建较为完善的psp策略
在这里插入图片描述

[root@server2 psp]# cat psp.yaml 
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restrictive
spec:
  privileged: false
  hostNetwork: false
  allowPrivilegeEscalation: false
  defaultAllowPrivilegeEscalation: false
  hostPID: false
  hostIPC: false
  runAsUser:
    rule: RunAsAny
  fsGroup:
    rule: RunAsAny
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  volumes:
  - 'configMap'
  - 'downwardAPI'
  - 'emptyDir'
  - 'persistentVolumeClaim'
  - 'secret'
  - 'projected'
  allowedCapabilities:
  - '*'

在这里插入图片描述
10、应用该yaml文件,查看psp可以看到策略设置成功,相较于之前创建的策略多了更多限制
在这里插入图片描述
11、编辑修改roles.yaml文件,创建集群角色,对该集群角色应用创建的psp,创建ClusterRoleBinding将这一ClusterRole与整个系统中的所有ServiceAccount
绑定
在这里插入图片描述

[root@server2 psp]# cat roles.yaml 
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: psp-restrictive
rules:
- apiGroups:
  - extensions
  resources:
  - podsecuritypolicies
  resourceNames:
  - restrictive
  verbs:
  - use

---

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: psp-default
subjects:
- kind: Group
  name: system:serviceaccounts
  namespace: kube-system
roleRef:
  kind: ClusterRole
  name: psp-restrictive
  apiGroup: rbac.authorization.k8s.io

在这里插入图片描述
12、此时使用控制器部署pod,查看所有pod都可以成功运行就绪
在这里插入图片描述
13、实验完成后清理实验环境,删除创建的集群角色、集群绑定关系,删除创建的psp,编辑API配置文件在准入控制项中删除PSP模块
在这里插入图片描述
在这里插入图片描述

是大姚呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
我所了解的运维——互联网运维分析
02-24
应粉丝邀请,对互联网运维工作做一次基础分析,不对之处还请谅解——我所见过或者接触过的运维主要负责维护并确保整个服务的高可用性,同时不断优化系统架构、提升部署效率、优化资源利用率提高整体的ROI....
linux企业运维实战资源 python自动化运维
最新发布
06-11
linux企业运维实战资源 python自动化运维
K8S学习指南(39)-k8s权限管理对象 PodSecurityPolicy
俞兆鹏的博客
12-25 1036
通过本文,我们深入了解了Kubernetes中权限管理对象PodSecurityPolicy的基本概念、创建方式,并通过详细的示例演示了如何手动创建PodSecurityPolicy,并将其与Role和RoleBinding关联,以实现对Pod的安全控制。在示例中,我们将演示如何手动创建一个PodSecurityPolicy,并将其与集群中的Role和RoleBinding关联,以实现对Pod的安全控制。的PodSecurityPolicy,定义了一系列安全规则,包括不允许特权容器、禁止使用主机网络等。
kubernetes安全:RBAC,Security Context,PSP,准入控制器
阿白,
04-29 4380
文章目录RBAC 权限控制前言API 对象RBAC只能访问某个 namespace 的普通用户创建用户凭证创建角色创建角色权限绑定测试只能访问某个 namespace 的 ServiceAccount可以全局访问的 ServiceAccountSecurity Context为 Pod 设置 Security Context为容器设置 Security Context设置 Linux Capabilities什么是 Capabilities如何使用 CapabilitiesDocker Container
安全保障基于软件全生命周期-PSP应用
qiaotl的博客
07-26 1007
通过实际例子演示一些具体的安全措施如何在容器运行阶段保障应用安全
k8s篇之Pod 安全策略
不务正业随手记
03-04 1538
默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会危机系统安全,而 Pod 安全策略PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod的安全策略进行管理。
【云原生】K8s PSP 和 securityContext 介绍与使用
匠人精神,持之以恒!
12-31 1636
授予users和service accounts创建或更新pods使用资源的权限。这是一种集群级别的资源类型,用来限制pod对敏感资源的使用。它能够控制Pod的各个安全方面。是否允许Pod使用宿主节点的PID,IPC,网络命名空间。Pod是否允许绑定到宿主节点端口。容器运行时允许使用的用户ID。是否允许特权模式的POD。【温馨提示】PodSecurityPolicy 在 Kubernetes v1.21 中被弃用, 在 Kubernetes v1.25 中被移除。
Kubernetes 系统强化 Pod安全策略 PSP
小楼一夜听春雨,深巷明朝卖杏花
07-10 1343
第一步PodSecurityPolicy(简称PSP):Kubernetes中Pod部署时重要的安全校验手段,能够 有效地约束应用运行时行为安全。 使用PSP对象定义一组Pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这 些条件才会被K8s接受。(在部署的时候去校验的,在运行的时候是不管的,当你创建podd的时候会去校验) Pod安全策略限制维度 Pod安全策略限制维度: 在之前的行为在yaml里面写一些安全配置都是有意识的去选择,如果k8s集群是别人使..
Linux运维-运维Kubernetes教程9、安全3、视屏56、 鉴权(3).mp4
06-06
Linux运维-运维Kubernetes教程9、安全3、视屏56、 鉴权(3).mp4
Linux运维-运维Kubernetes教程5、资源控制器2、资料.zip
06-06
Linux运维-运维Kubernetes教程5、资源控制器2、资料.zip
Linux运维-运维Kubernetes教程4、资源清单3、视屏19、Kubernetes - 资源清单 - initC.mp4
06-06
Linux运维-运维Kubernetes教程4、资源清单3、视屏19、Kubernetes - 资源清单 -
企业Linux系统运维实战.pdf
09-06
企业Linux系统运维实战.pdf
Linux运维-运维Kubernetes教程7、存储3、视屏47、PV-PVC(4).mp4
06-06
Linux运维-运维Kubernetes教程7、存储3、视屏47、PV-PVC(4).mp4
Linux运维-运维Kubernetes教程5、资源控制器3、视屏27、RS、Deployment(2).mp4
06-06
Linux运维-运维Kubernetes教程5、资源控制器3、视屏27、RS、Deployment
kubernetes CKS 4.3 Pod安全策略PSP
cloud_engineer的博客
07-14 535
PodSecurityPolicy(简称PSP):Kubernetes中Pod部署时重要的安全校验手段,能够 有效地约束应用运行时行为安全。 使用PSP对象定义一组Pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这 些条件才会被K8s接受。...
kubernetes-整体概述和架构
热门推荐
wuzhan的专栏
06-04 1万+
1、Kubernetes是什么Kubernetes是一个轻便的和可扩展的开源平台,用于管理容器化应用和服务。通过Kubernetes能够进行应用的自动化部署和扩缩容。在Kubernetes中,会将组成应用的容器组合成一个逻辑单元以更易管理和发现。Kubernetes积累了作为Google生产环境运行工作负载15年的经验,并吸收了来自于社区的最佳想法和实践。Kubernetes经过这几年的快速发展,...
Kubernetes:创建和分配Kubernetes Pod安全策略
琦彦
05-19 3539
Pod Security Policies(PSP) Pod Security Policies(PSP)是集群级的Pod安全策略,自动为集群内的Pod和Volume设置Security Context。 使用PSP需要API Server开启extensions/v1beta1/podsecuritypolicy,并且配置PodSecurityPolicyadmission控制器。 Pod的安全策略配置 Pod 安全策略是集群级别的资源,它能够控制 Pod 运行的行为,以及它具有访问什么的能.
Kubernetes 11 (API访问控制、serviceaccount、useraccount、RBAC、PSP安全策略配置)
qq_38664479的博客
09-29 644
目录一、kubernetes访问控制原理二、API Server认证三、UserAccount四、RBAC(基于角色访问控制)授权五、服务账户的自动化 一、kubernetes访问控制原理 kubernetes API 访问控制步骤:认证、授权、准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kuberne
linux企业运维实战
03-16
Linux企业运维实战是指在企业环境中,运用Linux系统进行运维管理的实践。这包括了对Linux系统的安装、配置、监控、维护、升级等方面的操作,以确保企业的信息系统能够稳定、高效地运行。在实践中,需要掌握Linux系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值