kubernetes CKS 4.3 Pod安全策略(PSP)

最新推荐文章于 2024-05-10 19:02:53 发布
最新推荐文章于 2024-05-10 19:02:53 发布
阅读量649 收藏 1
点赞数
分类专栏: kubernetes CKS 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cloud_engineer/article/details/125789706
版权
本文详细介绍了Kubernetes中的PodSecurityPolicy(PSP),如何定义和启用策略来确保Pod安全。通过实例展示了如何创建PSP、配置SA和Role,以及避免特权Pod和指定用户运行容器。阅读以掌握在K8s中实施安全策略的步骤和技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

4.3.1 简述

PodSecurityPolicy(简称PSP):Kubernetes中Pod部署时重要的安全校验手段,能够 有效地约束应用运行时行为安全。
使用PSP对象定义一组Pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这 些条件才会被K8s接受。
![image.png](https://img-blog.csdnimg.cn/img_convert/4bc6eb9e8b13d151f7eeeceb29fa6c65.png#clientId=u1f958e2d-ca55-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=660&id=u565c3ebd&margin=[object Object]&name=image.png&originHeight=660&originWidth=1099&originalType=binary&ratio=1&rotation=0&showTitle=false&size=219457&status=done&style=none&taskId=udd7cc165-880c-411e-b5f1-5ecfbea005b&title=&width=1099)

Pod安全策略实现为一个准入控制器,默认没有启用,当启用后会强制实施 Pod安全策略,没有满足的Pod将无法创建。因此,建议在启用PSP之前先添加 策略并对其授权。

启用Pod安全策略:

vi /etc/kubernetes/manifests/kube-apiserver.yaml
...
- --enable-admission-plugins=NodeRestriction,PodSecurityPolicy
...
systemctl restart kubelet

用户使用SA (ServiceAccount)创建了一个Pod,K8s会先验证这个SA是否 可以访问PSP资源权限,如果可以进一步验证Pod配置是否满足PSP规则,任 意一步不满足都会拒绝部署。 因此,需要实施需要有这几点:
• 创建SA服务账号
• 该SA需要具备创建对应资源权限,例如创建Pod、Deployment
• SA使用PSP资源权限:创建Role,使用PSP资源权限,再将SA绑定Role

![image.png](https://img-blog.csdnimg.cn/img_convert/ad1880aced8551754c163e529fd162a1.png#clientId=u1f958e2d-ca55-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=668&id=u756c9748&margin=[object Object]&name=image.png&originHeight=668&originWidth=589&originalType=binary&ratio=1&rotation=0&showTitle=false&size=155512&status=done&style=none&taskId=ufb0fb5c5-5689-4dc7-b5ee-08870ca7adc&title=&width=589)

4.3.2 示例1:禁止创建特权模式的Pod

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: psp-example
spec:
  privileged: false # 不允许特权Pod
# 下面是一些必要的字段
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  runAsUser:
    rule: RunAsAny 
  fsGroup:
    rule: RunAsAny
  volumes:
  - '*'

4.3.3 示例1:禁止创建特权模式的Pod

# 创建SA
kubectl create serviceaccount aliang
# 将SA绑定到系统内置Role
kubectl create rolebinding aliang --clusterrole=edit --serviceaccount=default:aliang
# 创建使用PSP权限的Role
kubectl create role psp:unprivileged --verb=use --resource=podsecuritypolicy --resource-name=psp-example
# 将SA绑定到Role
kubectl create rolebinding aliang:psp:unprivileged --role=psp:unprivileged --serviceaccount=default:aliang

4.3.4 示例2:禁止没指定普通用户运行的容器(runAsUser)

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: psp-example
spec:
  privileged: false # 不允许特权Pod
# 下面是一些必要的字段
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  runAsUser:
    rule: MustRunAsNonRoot 
  fsGroup:
    rule: RunAsAny
  volumes:
  - '*'

4.3.5 CKS考题分析

![image.png](https://img-blog.csdnimg.cn/img_convert/76f341a4871f1bca595baf3808337256.png#clientId=ua4a1bba0-7db3-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=511&id=u5f96cba8&margin=[object Object]&name=image.png&originHeight=511&originWidth=778&originalType=binary&ratio=1&rotation=0&showTitle=false&size=209244&status=done&style=none&taskId=u1cf0e239-85e6-4988-bde3-3a84268b4f4&title=&width=778)

解读:

  1. 创建一个名为 restrict-policy 的 PodSecurityPolicy,防止创建特权 Pod
  2. 创建一个名为 restrict-access-role 的 ClusterRole 能够使用 PSP restrict-policy
  3. 在 staging 命名空间创建一个名为 psp-denial-sa 的 ServiceAccount
  4. 最后,创建一个名为 dany-access-bind 的 ClusterRoleBinding,绑定 ClusterRole
    restrict-access-role 到 ServiceAccount psp-denial-sa

解题:

# 启用 PSP 准入控制器 
vi /etc/kubernetes/manifests/kube-apiserver.yaml 
- --enable-admission-plugins=NodeRestriction,PodSecurityPolicy

启用后,发觉无法创建pod:

[root@k8s21-master01 ~]# kubectl run nginx0714 --image=nginx 
Error from server (Forbidden): pods "nginx0714" is forbidden: PodSecurityPolicy: no providers available to validate pod request

创建psp规则:

[root@k8s21-master01 ~]# vi psp.yaml
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restrict-policy
spec:
  privileged: false  # 不允许提权的 Pod!
  # 以下内容负责填充一些必需字段。
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  runAsUser:
    rule: RunAsAny
  fsGroup:
    rule: RunAsAny
  volumes:
  - '*'
  [root@k8s21-master01 ~]#kubectl apply -f psp.yaml
Warning: policy/v1beta1 PodSecurityPolicy is deprecated in v1.21+, unavailable in v1.25+
podsecuritypolicy.policy/restrict-policy created

再创建pod,发觉可以创建了:

[root@k8s21-master01 ~]# kubectl run nginx0714 --image=nginx 
pod/nginx0714 created

创建一个clusterrole绑定psp

kubectl create clusterrole restrict-access-role --verb=use --resource=psp -- 
resource-name=restrict-policy

创建sa账号:

kubectl create ns staging #考试不用创建
kubectl create sa psp-denial-sa -n staging

创建…绑定sa

kubectl create clusterrolebinding dany-access-bind --clusterrole=restrict-access-role --serviceaccount=staging:psp-denial-sa

验证:

kubectl --as=system:serviceaccount:staging:psp-denial-sa get pods -n staging

社区官方参考文档: https://kubernetes.io/zh-cn/docs/concepts/security/pod-security-policy/

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
09-09 4029
KubernetesPodSecurityPolicy(PSP)是一个重要的安全特性,用于在Pod创建前实施安全策略,确保Pod以安全方式运行。
K8s进阶6——pod安全上下文,腾讯T2亲自教你
m0_60732644的博客
04-05 1390
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Kubernetes Pod Security Policies (PSP)解析
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-10 533
Pod Security Policies (PSP)Kubernetes 中一个已经废弃的功能,它曾用于控制Pod及其容器的运行时安全属性,比如容器是否能运行在特权模式下、是否能使用特定的Linux功能、挂载什么样的卷等。PSP作为一种集群级别的策略,帮助管理员定义了一系列规则,以确保Pod按照组织的安全标准运行。
pod安全策略(PSP)
教Linux的李老师
06-27 365
启用pod安全策略 禁止创建特权模式pod
CKS1.23 考试题整理(15)-Pod安全策略
april_4的博客
04-27 1110
题目 创建一个名为restrict-policy的新的PodSecurityPolicy,以防止特权Pod的创建。 创建一个名为restrict-access-role并使用新创建的PodSecurityPolicy restrict-policy的ClusterRole。 在现有的namespace staging中创建一个名为psp-denial-sa的新ServiceAccount。 最后,创建一个名为dany-access-bind的ClusterRoleBinding , 将新创建的Cl
kubernetes-Pod安全策略psp实践-非原创-方便自己查看
weixin_46010524的博客
06-13 312
使用PSP安全策略psp策略定义好之后还需要再创建role,把psp策略绑定role上,再将role绑定到serviceaccount,再在Pod中使用serviceaccount。还有几个必要条件:1、在apiserver启动参数 --enable-admission-plugins 中要加上 PodSecurityPolicy 选项,默认是没有启用的。
Kubernetes 系统强化 Pod安全策略 PSP
小楼一夜听春雨,深巷明朝卖杏花
07-10 1473
第一步PodSecurityPolicy(简称PSP):KubernetesPod部署时重要的安全校验手段,能够 有效地约束应用运行时行为安全。 使用PSP对象定义一组Pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这 些条件才会被K8s接受。(在部署的时候去校验的,在运行的时候是不管的,当你创建podd的时候会去校验) Pod安全策略限制维度 Pod安全策略限制维度: 在之前的行为在yaml里面写一些安全配置都是有意识的去选择,如果k8s集群是别人使..
Kubernetes CKS 考试题库(带解答和解析)
最新发布
08-20
Kubernetes CKS 考试题库
Kubernetes CKS认证课程:实战安全专家训练
本课程以实战为导向,帮助学员深入理解并掌握Kubernetes环境下的安全策略、最佳实践和风险应对方法。 课程内容丰富,覆盖了从集群设置到系统强化,再到供应链安全、监控和审计等多个方面,具体知识点包括: 1. ...
Kubernetes/K8S CKS安全专家认证实践(2023年新课,基于k8s 1.26版本)
05-29
分享一套cks课程——Kubernetes/K8S CKS安全专家认证实践(2023年新课,基于k8s 1.26版本)
2022版Kubernetes CKS认证备考实战班视频教程
教程内容覆盖了Kubernetes的安全架构、集群安全、网络策略、安全上下文、容器安全、API安全等多个方面,为学员提供了一套完整的文档资料,帮助他们在准备CKS认证考试时更有把握。" 1. Kubernetes(K8s)基础与架构 ...
kubernetes安全:RBAC,Security Context,PSP,准入控制器
阿白,
04-29 4641
文章目录RBAC 权限控制前言API 对象RBAC只能访问某个 namespace 的普通用户创建用户凭证创建角色创建角色权限绑定测试只能访问某个 namespace 的 ServiceAccount可以全局访问的 ServiceAccountSecurity Context为 Pod 设置 Security Context为容器设置 Security Context设置 Linux Capabilities什么是 Capabilities如何使用 CapabilitiesDocker Container
记录写过的K8Syaml文件之Pod篇-2、Pod安全策略
鸽鸽吃肉肉的博客
03-28 251
vim pod-policy.yaml apiVersion: v1 kind: PodSecurityPolicy metadata: name: pod-policy namespace: default spec: privileged: false #不允许特权模式的pod,禁止创建特权模式的pod seLinux: #设置SELinux参数,可以设置为MustRunAs或RunAsAny rule: RunAsAny supplementalGr
Linux企业运维——Kubernetes(十四)PSP安全策略
weixin_44310047的博客
08-23 913
Linux企业运维——Kubernetes(十四)PSP安全策略 文章目录Linux企业运维——Kubernetes(十四)PSP安全策略1、PSP安全策略简介2、PSP安全策略配置 1、PSP安全策略简介 PodSecurityPolicy(简称PSP)是KubernetesPod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。 默认情况下,Kubernetes 允许创建一个有特权容器Pod,这些容器很可能会危机系统安全,而 Pod 安全策略PSP)则通过确保请求者有权限按配置来创建
【云原生】K8s PSP 和 securityContext 介绍与使用
匠人精神,持之以恒!
12-31 1840
授予users和service accounts创建或更新pods使用资源的权限。这是一种集群级别的资源类型,用来限制pod对敏感资源的使用。它能够控制Pod的各个安全方面。是否允许Pod使用宿主节点的PID,IPC,网络命名空间。Pod是否允许绑定到宿主节点端口。容器运行时允许使用的用户ID。是否允许特权模式的POD。【温馨提示】PodSecurityPolicy 在 Kubernetes v1.21 中被弃用, 在 Kubernetes v1.25 中被移除。
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 4293
1、pod安全上下文Security Context,特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
K8S学习指南(39)-k8s权限管理对象 PodSecurityPolicy
俞兆鹏的博客
12-25 1246
通过本文,我们深入了解了Kubernetes中权限管理对象PodSecurityPolicy的基本概念、创建方式,并通过详细的示例演示了如何手动创建PodSecurityPolicy,并将其与RoleRoleBinding关联,以实现对Pod的安全控制。在示例中,我们将演示如何手动创建一个PodSecurityPolicy,并将其与集群中的RoleRoleBinding关联,以实现对Pod的安全控制。的PodSecurityPolicy,定义了一系列安全规则,包括不允许特权容器、禁止使用主机网络等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值