codecamp

Kubernetes 在名字空间级别应用Pod安全标准

在名字空间级别应用 Pod 安全标准

Note
本教程仅适用于新集群。

Pod 安全准入(PSA)在 v1.23 及更高版本默认启用, 因为它升级到测试版(beta)。 Pod 安全准入是在创建 Pod 时应用 Pod 安全标准的准入控制器。 在本教程中,你将应用 ​baseline ​Pod 安全标准,每次一个名字空间。

你还可以在集群级别一次将 Pod 安全标准应用于多个名称空间。

在开始之前

在你的工作站中安装以下内容:

创建集群

  1. 按照如下方式创建一个 ​KinD ​集群:
  2. kind create cluster --name psa-ns-level --image kindest/node:v1.23.0
    

    输出类似于:

    Creating cluster "psa-ns-level" ...
     ✓ Ensuring node image (kindest/node:v1.23.0) [[EMOJI:%F0%9F%96%BC]] 
     ✓ Preparing nodes [[EMOJI:%F0%9F%93%A6]]  
     ✓ Writing configuration [[EMOJI:%F0%9F%93%9C]] 
     ✓ Starting control-plane [[EMOJI:%F0%9F%95%B9]]️ 
     ✓ Installing CNI [[EMOJI:%F0%9F%94%8C]] 
     ✓ Installing StorageClass [[EMOJI:%F0%9F%92%BE]] 
    Set kubectl context to "kind-psa-ns-level"
    You can now use your cluster with:
    
    kubectl cluster-info --context kind-psa-ns-level
    
    Not sure what to do next? [[EMOJI:%F0%9F%98%85]]  Check out https://kind.sigs.k8s.io/docs/user/quick-start/
  3. 将 kubectl 上下文设置为新集群:
  4. kubectl cluster-info --context kind-psa-ns-level
    

    输出类似于:

    Kubernetes control plane is running at https://127.0.0.1:50996
    CoreDNS is running at https://127.0.0.1:50996/api/v1/namespaces/kube-system/services/kube-dns:dns/proxy
    
    To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'.

创建名字空间

创建一个名为 ​example ​的新名字空间:

kubectl create ns example

输出类似于:

namespace/example created

应用 Pod 安全标准 

  1. 使用内置 Pod 安全准入所支持的标签在此名字空间上启用 Pod 安全标准。 在这一步中,我们将根据最新版本(默认值)对基线 Pod 安全标准发出警告。
  2. kubectl label --overwrite ns example \
      pod-security.kubernetes.io/warn=baseline \
      pod-security.kubernetes.io/warn-version=latest
  3. 可以使用标签在任何名字空间上启用多个 Pod 安全标准。 以下命令将强制(​enforce​) 执行基线(​baseline​)Pod 安全标准, 但根据最新版本(默认值)对受限(​restricted​)Pod 安全标准执行警告(​warn​)和审核(​audit​)。
  4. kubectl label --overwrite ns example \
      pod-security.kubernetes.io/enforce=baseline \
      pod-security.kubernetes.io/enforce-version=latest \
      pod-security.kubernetes.io/warn=restricted \
      pod-security.kubernetes.io/warn-version=latest \
      pod-security.kubernetes.io/audit=restricted \
      pod-security.kubernetes.io/audit-version=latest

验证 Pod 安全标准

  1. 在 ​example ​名字空间中创建一个最小的 pod:
  2. cat <<EOF > /tmp/pss/nginx-pod.yaml
    apiVersion: v1
    kind: Pod
    metadata:
      name: nginx
    spec:
      containers:
        - image: nginx
          name: nginx
          ports:
            - containerPort: 80
    EOF
  3. 将 Pod 规约应用到集群中的 ​example ​名字空间中:
  4. kubectl apply -n example -f /tmp/pss/nginx-pod.yaml
    

    输出类似于:

    Warning: would violate PodSecurity "restricted:latest": allowPrivilegeEscalation != false (container "nginx" must set securityContext allowPrivilegeEscalation=false), unrestricted capabilities (container "nginx" must set securityContext.capabilities.drop=["ALL"]), runAsNonRoot != true (pod or container "nginx" must set securityContext.runAsNonRoot=true), seccompProfile (pod or container "nginx" must set securityContext seccompProfile.type to "RuntimeDefault" or "Localhost")
    pod/nginx created
  5. 将 Pod 规约应用到集群中的 ​default ​名字空间中:
  6. kubectl apply -n default -f /tmp/pss/nginx-pod.yaml
    

    输出类似于:

    pod/nginx created
    

以上 Pod 安全标准仅被应用到 ​example ​名字空间。 你可以在没有警告的情况下在 ​default ​名字空间中创建相同的 Pod。

清理 

运行 ​kind delete cluster -name psa-ns-level​ 删除创建的集群。


Kubernetes 在集群级别应用Pod安全标准
Kubernetes 使用seccomp限制容器的系统调用
温馨提示
下载编程狮App,免费阅读超1000+编程语言教程
取消
确定
目录

Kubernetes 管理集群

Kubernetes Service

关闭

MIP.setData({ 'pageTheme' : getCookie('pageTheme') || {'day':true, 'night':false}, 'pageFontSize' : getCookie('pageFontSize') || 20 }); MIP.watch('pageTheme', function(newValue){ setCookie('pageTheme', JSON.stringify(newValue)) }); MIP.watch('pageFontSize', function(newValue){ setCookie('pageFontSize', newValue) }); function setCookie(name, value){ var days = 1; var exp = new Date(); exp.setTime(exp.getTime() + days*24*60*60*1000); document.cookie = name + '=' + value + ';expires=' + exp.toUTCString(); } function getCookie(name){ var reg = new RegExp('(^| )' + name + '=([^;]*)(;|$)'); return document.cookie.match(reg) ? JSON.parse(document.cookie.match(reg)[2]) : null; }