podsecuritypolicy

最新推荐文章于 2024-05-10 19:02:53 发布
最新推荐文章于 2024-05-10 19:02:53 发布
阅读量2k 收藏 6
点赞数
分类专栏: kubernetes 文章标签: kubernetes podsecuritypolicy RBAC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuyang4600/article/details/102909542
版权

对不同的用户和组分配不同的PodSecurityPolicy

PodSecurityPolicy是集群级别的资源,意味着他不能存储和应用在某一特定的命名空间上;

对不同的用户分配不同的PodSecurityPolicy是通过RBAC机制来实现的

k=kubetcl

首先,创建一个允许部署特权容器的PodSecurityPolicy

apiVersion: extensions/v1beta1
kind: PodSecurityPolicy
metadata:
  name: privileged   
spec:
  privileged: true   -----允许创建特权容器
  runAsUser:
    rule: RunAsAny
  fsGroup:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  seLinux:
    rule: RunAsAny
  volumes:
  - '*'

创建一个不允许部署特权容器的PodSecurityPolicy

apiVersion: extensions/v1beta1
kind: PodSecurityPolicy
metadata:
  name: default
spec:
  hostIPC: false
  hostPID: false
  hostNetwork: false
  hostPorts:
  - min: 10000
    max: 11000
  - min: 13000
    max: 14000
  privileged: false        ----不允许部署特权容器
  readOnlyRootFilesystem: true
  runAsUser:
    rule: RunAsAny
  fsGroup:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  seLinux:
    rule: RunAsAny
  volumes:
  - '*'

kubectl create之后,集群中有两个PodSecurityPolicy
在这里插入图片描述

defaultprivileged,可以看到PRIV属性两个相反

部署pod时,如果任一策略允许使用pod中使用到的特性,API服务器就会接收这个pod

考虑如下:Alice和Bob,Alice只能部署非特权pod,Bob可以部署特权pod,可以通过让Alice只能使用default podseclitypolicy,而Bob可以使用以上两个podseclitypolicy来做到

使用RBAC将不同的podseclitypolicy分配给不同用户

创建两个clusterrole,分别允许使用其中一个策略

k create clusterrole psp-default --verb=use --resource=podsecuritypolicies --resource-name=default

k create clusterrole psp-privileged --verb=use --resource=podsecuritypolicies --resource-name=privileged

然后把这两个策略绑定到已认证的用户上,要将psp-default clusterrole绑定到所有已认证的用户上,否则没有用户可以创建pod,因为podseclitypolicy访问控制插件会因为没有找到任何策略而拒绝创建pod,所有已认证用户都属于system:authenticated,因此需要将clueterrole绑定到这个组

k create clusterrolebinding psp-all-users --clusterrole=psp-default --group=system:authenticated

然后将psp-privileged clusterrole绑定到bob用户,如果绑不上,先用后面的命令创建用户

k create clusterrolebinding psp-bob --clusterrole=psp-privileged --user=bob

为kubectl创建不同用户

k config set-credentials alice --username=alice --password=password

k config set-credentials bob --username=bob --password=password

创建一个特权模式的pod

apiVersion: v1
kind: Pod
metadata:
  name: pod-privileged
spec:
  containers:
  - name: main
    image: alpine
    command: ["/bin/sleep", "999999"]
    securityContext:
      privileged: true

k --user alice create -f pod-privileged.yaml

会发现这个会被forbidden

k --user bob create -f pod-privileged.yaml

这个可以正常创建特权pod

注:比较尴尬的是,我在最后用alice创建pod时,报的错是这样的
在这里插入图片描述

暂时没弄明白,如果有人知道,麻烦告知,虽然我最后没走通,但大致的步骤就是这样的

参考《kubernetes in action》

yuyang4600
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CKS学习笔记- PodSecurityPolicy练习
weixin_43394724的博客
10-19 420
什么是PodSecurityPolicyPodSecurityPolicy是一个内置的许可控制器,它允许集群管理员控制Pod规范的安全敏感方面。 首先,在集群中创建一个或多个PodSecurityPolicy资源,以定义pod必须满足的需求。然后,创建RBAC规则来控制哪个PodSecurityPolicy应用于给定的pod。 如果pod满足其PSP的要求,它将像往常一样被允许进入集群。在某些情况下,PSP还可以修改Pod字段,有效地为这些字段创建新的默认值。如果Pod不符合PSP要求,它将被拒绝,并且
Learn-Kubernetes-Security:了解Packt发布的Kubernetes Security
05-26
了解Kubernetes安全 这是Packt发布的的代码存储库。 在Kubernetes部署中安全地编排... 随着您的前进,您将了解如何保护集群组件(kube-apiserver,CoreDNS和kubelet)和Pod(加固映像,安全上下文和PodSecurityPolicy
K8s Pod Security Policy实践
小楼一夜听春雨,深巷明朝卖杏花
07-10 2188
什么是 Pod 安全策略? Pod 安全策略(Pod Security Policy)是集群级别的资源,它能够控制 Pod 规约 中与安全性相关的各个方面。PodSecurityPolicy对象定义了一组 Pod 运行时必须遵循的条件及相关字段的默认值,只有 Pod 满足这些条件 才会被系统接受。 Pod 安全策略允许管理员控制如下方面: 控制的角度 字段名称 运行特权容器 privileged 使用宿主名字空间 hostPID、hostIPC 使用宿主的网络和端口 ...
Kubernetes Pod Security Policies (PSP)解析
最新发布
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-10 315
Pod Security Policies (PSP) 是 Kubernetes 中一个已经废弃的功能,它曾用于控制Pod及其容器的运行时安全属性,比如容器是否能运行在特权模式下、是否能使用特定的Linux功能、挂载什么样的卷等。PSP作为一种集群级别的策略,帮助管理员定义了一系列规则,以确保Pod按照组织的安全标准运行。
kubernetes--pod安全策略(podSecurityPolicy
m0_57911290的博客
02-16 4280
Kubernetespod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。使用PSP对象定义一组pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被K8s接受。PodSecurityPolicyKubernetes v1.21 中被弃用, 在 Kubernetes v1.25 中被移除。
k8s安全机制:Pod Security PolicySecurity Context
风向决定发型丶的博客
11-03 687
自从首次引入 PodSecurityPolicy 以来, PSP 存在一些严重的可用性问题, 只有做出断裂式的改变才能解决。PodSecurityPolicy (PSP) 在 Kubernetes 1.21 中被弃用, 在Kubernetes v1.25会被移除。替代方案Pod Security Standard(Pod安全标准)。使用 Pod 安全标准的 PSP 来获得和目前 PSP 替代策略相似的功能。
Kubernetes PodSecurityPolicy 资源介绍
小楼一夜听春雨,深巷明朝卖杏花
08-16 536
限制pod使用安全相关的特性 已经介绍了如何在部署 pod时在任一宿主节点上做任何想做 的事。 比如, 部署一个特权模式的 pod 。 很明显, 需要有一种机制阻止用户使用其中的部分功能。 集群管理入员可以通过创建 PodSecurityPolicy资源来限制对以上提到的安全相关的特性的使用。 PodSecurityPolicy资源介绍 PodSecurityPolicy 是一种集群级别(无命名空间)的资源, 它定义了用户能否在 pod 中使用各种安全相关的特性。 维护 PodSecu
K8S及镜像容器安全架构设计
10-17
* 使用 PodSecurityPolicy 来控制 Pod 的安全策略。 * 使用 PodContext 来控制 Pod 的上下文环境。 * 使用日志审计来跟踪 Workload 的操作记录。 * 使用 Secret 来保护敏感数据。 网络安全 网络安全是指保护 ...
kube-flannel.yml
08-11
kind: PodSecurityPolicy metadata: name: psp.flannel.unprivileged annotations: seccomp.security.alpha.kubernetes.io/allowedProfileNames: docker/default seccomp.security.alpha.kubernetes.io/...
kubernetes-kitchen:学习Kubernetes
05-21
task-012-PodSecurityPolicy 核心概念 任务017舱 任务018 任务019部署 任务020命名空间 task-021-服务 排程 task-022-标签和选择器 任务023污点和公差 任务024-节点关联 任务025-资源需求和限制 任务026-编辑吊舱...
k8s PodSecurityPolicy
SHELLCODE_8BIT的博客
08-03 124
Configure a Security Context for a Pod or Container | Kubernetes
Kubernetes Pod Security Policies详解
爱死亡机器人
06-01 1412
版本 功能状态: Kubernetes v1.21 [deprecated] PodSecurityPolicyKubernetes v1.21 起已弃用,并将在 v1.25 中删除。 Pod 安全策略启用对 Pod 创建和更新的细粒度授权 介绍 PodSecurityPolicy对象定义一组条件,一个pod必须以被接受进入系统,以及用于相关字段默认值运行。它们允许管理员控制以下内容: 运行特权容器 privileged 主机命名空间的使用 hostPID, hostIPC 主机网
二十一、Pod的安全策略
爱吃西红柿的博客
02-16 503
为了更精细的控制pod启动或者更新时的安全管理,kubernetes从1.5版本开始引入podSecurityPolicy资源对象对pod安全策略进行管理。podSecurityPolicy是集群范围内的资源对象,不属于命名空间范围。
Kubernetes PodSecurityPolicy
来啊 快活啊
02-01 1833
参考 Enforcing cluster-wide policies for a Kubernetes-based Docker cluster Pod 安全策略 Kubernetes-深入分析集群安全机制 Kubernetes 部署的最佳安全实践
k8s篇之Pod 安全策略
不务正业随手记
03-04 1550
默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod的安全策略进行管理。
PullToRefreshListView的简单使用
孤云博客
06-17 3079
随时随地阅读更多技术实战干货,获取项目源码、学习资料,请关注源代码社区公众号(ydmsq666)、博主微信(guyun297890152)、QQ技术交流群(183198395)。 在前面介绍过XListView的使用,这里介绍一个类似的列表控件:PullToRefreshListView,它来自开源项目PullToRefresh,里面还有一些其他控件,使用非常方便,直接上源码: MainA...
kubernetes高级之pod安全策略
weixin_30681121的博客
06-24 865
系列目录 什么是pod安全策略 pod安全策略是集群级别的用于控制pod安全相关选项的一种资源.PodSecurityPolicy定义了一系列pod相要进行在系统中必须满足的约束条件,以衣一些默认的约束值.它允许管理员控制以下方面内容 Control Aspect Field Names 以特权运行容器 privileged 使用宿主名称空间 hostPID, hostIPC...
kubernetes支持PodSecurityPolicy
来啊 快活啊
08-30 792
kubernetes支持PodSecurityPolicy
iPhone安装了证书后给unknow设置
qq_41928442的博客
09-25 387
网上教程大多是到设置➡️通用➡️描述文件与设备管理➡️安装完证书就开始抓包了。导致unknow, 是因为安装证书后,还要到设置信任,到设置➡️关于本机➡️证书信任设置
PodSecurityPolicy: unable to admit pod 报错
06-13
这个错误通常是由于 Kubernetes 集群中启用了 PodSecurityPolicy 并且没有为该 Pod 定义允许的权限导致的。PodSecurityPolicyKubernetes 中一种安全机制,它可以限制 Pod 的权限,从而提高 Kubernetes 集群的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值