Pod 安全标准 (PSS) 和 Pod 安全准入 (PSA)
Pod 安全标准 (PSS) 和 Pod 安全准入 (PSA) 为大量工作负载定义了安全限制。 它们在 Kubernetes v1.23 中可用并默认打开,并在 Kubernetes v1.25 及更高版本中替换了 Pod Security Policies (PSP)。
PSS 定义了工作负载的安全级别。PSA 描述了 Pod 安全上下文和相关字段的要求。PSA 参考 PSS 级别来定义安全限制。
升级到 Pod 安全标准 (PSS)
确保将所有 PSP 都迁移到了另一个工作负载安全机制,包括将你当前的 PSP 映射到 Pod 安全标准,以便使用 PSA 控制器执行。如果 PSA 控制器不能满足企业的所有需求,建议你使用策略引擎,例如 Kubewarden、Kyverno 或 NeuVector。有关如何迁移 PSP 的更多信息,请参阅你选择的策略引擎的文档。
警告
必须在删除 PodSecurityPolicy 对象之前添加新的策略执行机制。否则,你可能会为集群内的特权升级攻击创造机会。
Pod 安全准入配置模板
Rancher 提供了 PSA 配置模板。它们是可以应用到集群的预定义安全配置。Rancher 管理员(或具有权限的人员)可以创建、管理和编辑 PSA 模板。
受 PSA 限制的集群上的 Rancher
Rancher system 命名空间也受到 PSA 模板描述的限制性安全策略的影响。你需要在分配模板后豁免 Rancher 的 system 命名空间,否则集群将无法正常运行。有关详细信息,请参阅 Pod 安全准入 (PSA) 配置模板。
有关运行 Rancher 所需的所有豁免的完整文件,请参阅此准入配置示例。