Kubernetes Pod Security Policies详解

已于 2022-01-18 17:26:07 修改
阅读量1.4k 收藏 1
点赞数
分类专栏: kubernetes 文章标签: kubernetes
于 2021-06-01 15:27:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xixihahalelehehe/article/details/117437939
版权

文章目录

1. 版本

功能状态: Kubernetes v1.21 [deprecated]
PodSecurityPolicyKubernetes v1.21 起已弃用,并将在 v1.25 中删除。

Pod 安全策略启用对 Pod 创建和更新的细粒度授权

2. 介绍

PodSecurityPolicy对象定义一组条件,一个pod必须以被接受进入系统,以及用于相关字段默认值运行。它们允许管理员控制以下内容:

运行特权容器privileged
主机命名空间的使用hostPID, hostIPC
主机网络和端口的使用hostNetwork, hostPorts
卷类型的使用volumes
主机文件系统的使用allowedHostPaths
允许特定的 FlexVolume 驱动程序allowedFlexVolumes
分配一个拥有 Pod 卷的 FSGroupfsGroup
需要使用只读根文件系统readOnlyRootFilesystem
容器的用户和组 IDrunAsUser, runAsGroup,supplementalGroups
限制升级到 root 权限allowPrivilegeEscalation, defaultAllowPrivilegeEscalation
Linux 功能defaultAddCapabilities, requiredDropCapabilities,allowedCapabilities
容器的 SELinux 上下文seLinux
容器的 Allowed Proc Mount 类型allowedProcMountTypes
容器使用的 AppArmor 配置文件注释
容器使用的 seccomp 配置文件注释
容器使用的 sysctl 配置文件forbiddenSysctls,allowedUnsafeSysctls

Pod 安全策略控制作为可选(但推荐)的 准入控制器实现。PodSecurityPolicies 是通过启用准入控制器来强制执行的,但是在没有授权任何策略的情况下这样做会阻止在集群中创建任何 pod。

由于 Pod 安全策略 API ( policy/v1beta1/podsecuritypolicy) 是独立于准入控制器启用的,对于现有集群,建议在启用准入控制器之前添加和授权策略。

3. 授权政策

创建 PodSecurityPolicy 资源时,它什么都不做。为了使用它,请求用户或目标 Pod 的服务帐户必须被授权使用该策略,方法是允许use策略上的动词。

大多数 Kubernetes pod 不是由用户直接创建的。相反,它们通常作为Deployment、 ReplicaSet或其他模板化控制器的一部分通过控制器管理器间接创建 。授予控制器访问策略的权限将授予该控制器创建的所有pod 的访问权限,因此授权策略的首选方法是授予对 pod 服务帐户的访问权限

3.1 通过 RBAC

RBAC是一种标准的 Kubernetes 授权模式,可以很容易地用于授权使用策略。

首先, a RoleorClusterRole需要授予use对所需策略的访问权限。授予访问权限的规则如下所示:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: <role name>
rules:
- apiGroups: ['policy']
  resources: ['podsecuritypolicies']
  verbs:     ['use']
  resourceNames:
  - <list of policies to authorize>

然后(Cluster)Role绑定到授权用户:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: <binding name>
roleRef:
  kind: ClusterRole
  name: <role name>
  apiGroup: rbac.authorization.k8s.io
subjects:
# Authorize specific service accounts:
- kind: ServiceAccount
  name: <authorized service account name>
  namespace: <authorized pod namespace>
# Authorize specific users (not recommended):
- kind: User
  apiGroup: rbac.authorization.k8s.io
  name: <authorized user name>

如果使用 a RoleBinding(不是 a ClusterRoleBinding),它只会授予在与绑定相同的命名空间中运行的 pod 的使用权。这可以与系统组配对以授予对在命名空间中运行的所有 pod 的访问权限:

ghostwritten
关注
专栏目录
CKS学习笔记- PodSecurityPolicy练习
weixin_43394724的博客
10-19 430
什么是PodSecurityPolicyPodSecurityPolicy是一个内置的许可控制器,它允许集群管理员控制Pod规范的安全敏感方面。 首先,在集群中创建一个或多个PodSecurityPolicy资源,以定义pod必须满足的需求。然后,创建RBAC规则来控制哪个PodSecurityPolicy应用于给定的pod。 如果pod满足其PSP的要求,它将像往常一样被允许进入集群。在某些情况下,PSP还可以修改Pod字段,有效地为这些字段创建新的默认值。如果Pod不符合PSP要求,它将被拒绝,并且
k8s学习笔记(6)--- kubernetes命令行工具kubectl详解
梦谜的博客
01-04 2890
kubernetes命令行工具kubectl详解1、kubectl概述2、资源对象类型3、kubectl命令大全4、kubectl安装部署5、kubectl连接集群 1、kubectl概述         kubectl是Kubernetes集群的命令行工具,通过kubectl能够对集群本身进行管理,并能够在集群上进行...
Kubernetes Pod Security Policies (PSP)解析
最新发布
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-10 380
Pod Security Policies (PSP) 是 Kubernetes 中一个已经废弃的功能,它曾用于控制Pod及其容器的运行时安全属性,比如容器是否能运行在特权模式下、是否能使用特定的Linux功能、挂载什么样的卷等。PSP作为一种集群级别的策略,帮助管理员定义了一系列规则,以确保Pod按照组织的安全标准运行。
k8s篇之Pod 安全策略
不务正业随手记
03-04 1918
默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod的安全策略进行管理。
kubernetes--pod安全策略(podSecurityPolicy
m0_57911290的博客
02-16 4321
Kubernetespod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。使用PSP对象定义一组pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被K8s接受。PodSecurityPolicyKubernetes v1.21 中被弃用, 在 Kubernetes v1.25 中被移除。
由于以下错误 enterprise manager配置失败_Kubernetes Pod 安全策略(PSP)配置
weixin_39990410的博客
11-28 618
默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。PodSecurityPolicyKubernetes API 对象,你可以在不对 Kubernetes 进行任何修改的情况下创建它们,但是,默认情况下不会强制执行我们创建的一些策略...
Kubernetes中的Pod详解
什么是Kubernetes中的Pod ## 1.1 Pod的定义和概念 在Kubernetes中,Pod是最小的可调度和可管理的资源单元。Pod由一个或多个紧密相关的容器组成,它们共享相同的网络命名空间、存储和IP地址。Pod可以看作是逻辑上...
k8s之Pod安全策略
weixin_37337210的博客
01-20 1576
导读 Pod容器想要获取集群的资源信息,需要配置角色和ServiceAccount进行授权。为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod的安全策略进行管理。 Pod特权模式 容器内的进程获得的特权几乎与容器外的进程相同。使用特权模式,可以更容易地将网络和卷插件编写为独立的pod,不需要编译到kubelet中。 PodSecurityPolicy 官网定义 Pod 安全策略(Pod Security Polic
Kubernetes K8S之kubectl命令详解及常用示例
踏歌行的专栏
08-09 4084
Kubernetes kubectl命令详解与常用示例,基于k8s v1.17.4版本
云原生之kubectl命令详解
热门推荐
m0_62948770的博客
11-02 1万+
k8s kubectl命令行
k8s安全机制:Pod Security PolicySecurity Context
风向决定发型丶的博客
11-03 907
自从首次引入 PodSecurityPolicy 以来, PSP 存在一些严重的可用性问题, 只有做出断裂式的改变才能解决。PodSecurityPolicy (PSP) 在 Kubernetes 1.21 中被弃用, 在Kubernetes v1.25会被移除。替代方案Pod Security Standard(Pod安全标准)。使用 Pod 安全标准的 PSP 来获得和目前 PSP 替代策略相似的功能。
kubernetes pod podsecurityPolicies(PSP)
爱死亡机器人
08-02 654
PSP)是集群级的 Pod 安全策略,自动为集群内的 Pod 和 Volume 设置 Security Context。使用 PSP 需要 API Server 开启 extensions/v1beta1/podsecuritypolicy,并且配置 PodSecurityPolicy admission 控制器。
K8S学习指南(39)-k8s权限管理对象 PodSecurityPolicy
俞兆鹏的博客
12-25 1094
通过本文,我们深入了解了Kubernetes中权限管理对象PodSecurityPolicy的基本概念、创建方式,并通过详细的示例演示了如何手动创建PodSecurityPolicy,并将其与Role和RoleBinding关联,以实现对Pod的安全控制。在示例中,我们将演示如何手动创建一个PodSecurityPolicy,并将其与集群中的Role和RoleBinding关联,以实现对Pod的安全控制。的PodSecurityPolicy,定义了一系列安全规则,包括不允许特权容器、禁止使用主机网络等。
K8s Pod Security Policy实践
小楼一夜听春雨,深巷明朝卖杏花
07-10 2235
什么是 Pod 安全策略? Pod 安全策略(Pod Security Policy)是集群级别的资源,它能够控制 Pod 规约 中与安全性相关的各个方面。PodSecurityPolicy对象定义了一组 Pod 运行时必须遵循的条件及相关字段的默认值,只有 Pod 满足这些条件 才会被系统接受。 Pod 安全策略允许管理员控制如下方面: 控制的角度 字段名称 运行特权容器 privileged 使用宿主名字空间 hostPID、hostIPC 使用宿主的网络和端口 ...
Kubernetes PodSecurityPolicy 资源介绍
小楼一夜听春雨,深巷明朝卖杏花
08-16 555
限制pod使用安全相关的特性 已经介绍了如何在部署 pod时在任一宿主节点上做任何想做 的事。 比如, 部署一个特权模式的 pod 。 很明显, 需要有一种机制阻止用户使用其中的部分功能。 集群管理入员可以通过创建 PodSecurityPolicy资源来限制对以上提到的安全相关的特性的使用。 PodSecurityPolicy资源介绍 PodSecurityPolicy 是一种集群级别(无命名空间)的资源, 它定义了用户能否在 pod 中使用各种安全相关的特性。 维护 PodSecu
podsecuritypolicy
yuyang4600的博客
11-05 2067
对不同的用户和组分配不同的PodSecurityPolicy PodSecurityPolicy是集群级别的资源,意味着他不能存储和应用在某一特定的命名空间上; 对不同的用户分配不同的PodSecurityPolicy是通过RBAC机制来实现的 k=kubetcl 首先,创建一个允许部署特权容器的PodSecurityPolicy apiVersion: extensions/v1beta1 ki...
kubernetes【安全】2. securityContext与podsecurityPolicies配置
爱死亡机器人
05-14 1050
介绍 参考链接: https://kubernetes.io/docs/tasks/configure-pod-container/security-context/#before-you-begin Practice - Set Container User and Group root@master:~/cks/securitytext# k run pod --image=busybox --command -oyaml --dry-run=client > pod.yaml -- sh
Kubernetes——Pod安全
qq_41358740的博客
01-31 220
kubernetes
kubernetes支持PodSecurityPolicy
来啊 快活啊
08-30 806
kubernetes支持PodSecurityPolicy
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ghostwritten

口渴,请赏一杯下午茶吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值