Kubernetes 服務(wù)內(nèi)部流量策略

Kubernetes 端點(diǎn)切片（Endpoint Slices）

Kubernetes 網(wǎng)絡(luò)策略

Kubernetes IPv4/IPv6 雙協(xié)議棧

Kubernetes 存儲(chǔ)

Kubernetes 配置

Kubernetes 安全

Kubernetes 策略

Kubernetes 調(diào)度，搶占和驅(qū)逐

Kubernetes 集群管理

Kubernetes 擴(kuò)展

Kubernetes 應(yīng)用故障排除

Kubernetes 集群故障排查

Kubernetes 管理集群

Kubernetes 控制節(jié)點(diǎn)上的CPU管理策略

Kubernetes 改變默認(rèn)StorageClass

Kubernetes 更改PersistentVolume的回收策略

Kubernetes 自動(dòng)擴(kuò)縮集群DNS服務(wù)

Kubernetes 自定義DNS服務(wù)

Kubernetes 調(diào)試DNS問題

Kubernetes 遷移多副本的控制面以使用云控制器管理器

Kubernetes 通過名字空間共享集群

Kubernetes 通過配置文件設(shè)置Kubelet參數(shù)

Kubernetes 配置API對(duì)象配額

Kubernetes 限制存儲(chǔ)消耗

Kubernetes 靜態(tài)加密Secret數(shù)據(jù)

Kubernetes 配置Pods和容器

Kubernetes 管理Kubernetes對(duì)象

Kubernetes 管理Secrets

Kubernetes 給應(yīng)用注入數(shù)據(jù)

Kubernetes 運(yùn)行應(yīng)用

Kubernetes 運(yùn)行Jobs

Kubernetes 訪問集群中的應(yīng)用程序

Kubernetes 擴(kuò)展Kubernetes

Kubernetes TLS

Kubernetes 管理集群守護(hù)進(jìn)程

Kubernetes 安裝服務(wù)目錄

Kubernetes 網(wǎng)絡(luò)

Kubernetes 任務(wù)

Kubernetes 安全

Kubernetes 無狀態(tài)應(yīng)用程序

Kubernetes 有狀態(tài)的應(yīng)用

Kubernetes Service

Kubernetes 使用源IP

閱讀(1.2k) 書簽贊(0) 我要糾錯(cuò)

Kubernetes 使用名字空間標(biāo)簽來實(shí)施Pod安全性標(biāo)準(zhǔn)

2022-06-11 11:35 更新

在開始之前

您的 Kubernetes 服務(wù)器必須為 v1.22 或更高版本。要檢查版本，請(qǐng)輸入 ?kubectl version?。

確保 ?PodSecurity ?特性門控已被啟用。

通過名字空間標(biāo)簽來要求實(shí)施 baseline Pod 容器標(biāo)準(zhǔn)

下面的清單定義了一個(gè) ?my-baseline-namespace? 名字空間，其中

阻止任何不滿足 ?baseline ?策略要求的 Pods；
針對(duì)任何無法滿足 ?restricted ?策略要求的、已創(chuàng)建的 Pod 為用戶生成警告信息，并添加審計(jì)注解；
將 ?baseline ?和 ?restricted ?策略的版本鎖定到 v1.24。

apiVersion: v1
kind: Namespace
metadata:
  name: my-baseline-namespace
  labels:
    pod-security.kubernetes.io/enforce: baseline
    pod-security.kubernetes.io/enforce-version: v1.24

    # 我們將這些標(biāo)簽設(shè)置為我們所 _期望_ 的 `enforce` 級(jí)別
    pod-security.kubernetes.io/audit: restricted
    pod-security.kubernetes.io/audit-version: v1.24
    pod-security.kubernetes.io/warn: restricted
    pod-security.kubernetes.io/warn-version: v1.24

使用 kubectl label 為現(xiàn)有名字空間添加標(biāo)簽

Note:
在添加或變更 ?enforce ?策略（或版本）標(biāo)簽時(shí)，準(zhǔn)入插件會(huì)測(cè)試名字空間中的每個(gè) Pod 以檢查其是否滿足新的策略。不符合策略的情況會(huì)被以警告的形式返回給用戶。

在剛開始為名字空間評(píng)估安全性策略變更時(shí)，使用 ?--dry-run? 標(biāo)志是很有用的。 Pod 安全性標(biāo)準(zhǔn)會(huì)在 dry run（試運(yùn)行）模式下運(yùn)行，在這種模式下會(huì)生成新策略如何處理現(xiàn)有 Pod 的信息，但不會(huì)真正更新策略。

kubectl label --dry-run=server --overwrite ns --all \
    pod-security.kubernetes.io/enforce=baseline

應(yīng)用到所有名字空間

如果你是剛剛開始使用 Pod 安全性標(biāo)準(zhǔn)，一種比較合適的初始步驟是針對(duì)所有名字空間為類似 ?baseline ?這種比較嚴(yán)格的安全級(jí)別配置審計(jì)注解。

kubectl label --overwrite ns --all \
  pod-security.kubernetes.io/audit=baseline \
  pod-security.kubernetes.io/warn=baseline

注意，這里沒有設(shè)置 enforce 級(jí)別，因而沒有被顯式評(píng)估的名字空間可以被識(shí)別出來。你可以使用下面的命令列舉那些沒有顯式設(shè)置 enforce 級(jí)別的名字空間：

kubectl get namespaces --selector='!pod-security.kubernetes.io/enforce'

應(yīng)用到單個(gè)名字空間

你也可以更新特定的名字空間。下面的命令將 ?enforce=restricted? 策略應(yīng)用到 ?my-existing-namespace? 名字空間，將 restricted 策略的版本鎖定到 v1.24。

kubectl label --overwrite ns my-existing-namespace \
  pod-security.kubernetes.io/enforce=restricted \
  pod-security.kubernetes.io/enforce-version=v1.24

以上內(nèi)容是否對(duì)您有幫助：

← Kubernetes 從PodSecurityPolicy遷移到內(nèi)置的PodSecurity準(zhǔn)入控制器

Kubernetes 通過配置內(nèi)置準(zhǔn)入控制器實(shí)施Pod安全標(biāo)準(zhǔn) →

寫筆記

我要補(bǔ)充