k8s篇之Pod 安全策略

最新推荐文章于 2025-05-07 14:04:44 发布
最新推荐文章于 2025-05-07 14:04:44 发布
阅读量2.1k 收藏 6
点赞数 2
分类专栏: # kubernetes 文章标签: kubernetes docker 云原生 服务器 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43809223/article/details/129340421
版权
文章介绍了Kubernetes的Pod安全策略(PSP),用于限制Pod的创建和行为,防止特权容器威胁集群安全。PSP通过设定一系列条件,如是否允许特权模式、使用宿主机资源、挂载特定卷等,来控制Pod的创建。启用PSP需配置kube-apiserver和RBAC权限。文章还详细讲解了PSP的配置选项和示例,以及如何创建、修改和删除PSP,并提供了两种典型的安全策略配置示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

前言

默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。

为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod的安全策略进行管理。

PodSecurityPolicy 是 Kubernetes API 对象,你可以在不对 Kubernetes 进行任何修改的情况下创建它们,但是,默认情况下不会强制执行我们创建的一些策略,我们需要一个准入控制器、kube-controller-manager 配置以及 RBAC 权限配置。

PodSecurityPolicy 类型的对象能够控制,是否可以向 Pod 发送请求,该 Pod 能够影响被应用到 Pod 和容器的 SecurityContext。

什么是 Pod 安全策略?

Pod 安全策略 是集群级别的资源,它能够控制 Pod 运行的行为,以及它具有访问什么的能力。 PodSecurityPolicy 对象定义了一组Pod运行时必须遵循的条件及相关字段的默认值,只有 Pod 满足这些条件才会被系统接受。 它们允许管理员控制如下方面:

控制面 字段名称
特权容器 privileged
使用宿主名字空间 hostPID,hostIPC
使用宿主的网络和端口 hostNetwork,hostPorts
控制卷类型的使用 wolumes
使用宿主文件系统 allowHostPaths
允许使用特定的FlesVolume驱动 allowFlexVolumes
分配拥有Pod卷的FSGroup fsGroup
以只读的方式访问根文件系统 readOnlyRootFilesystem
设置容器的用户和组ID runAsUser,runAsGroup,supplementalGroups
限制root账号特提升 allowPrivilegeEscalation,defaultAllowPrivateEscalation
设置容器的 SELinux 上下文 seLinux
指定容器可以挂载的proc类型 alloweProcMountTypes
指定容器使用的AppArmor模板 annotations
指定容器使用的seccomp annotations
指定容器使用的sysctl模板 forbiddenSysctls,allowedUnsafeSysctls

Pod 安全策略 由设置和策略组成,它们能够控制 Pod 访问的安全特征。这些设置分为如下三类:

  • 基于布尔值控制 :这种类型的字段默认为最严格限制的值
  • 基于被允许的值集合控制 :这种类型的字段会与这组值进行对比,以确认值被允许
  • 基于策略控制 :设置项通过一种策略提供的机制来生成该值,这种机制能够确保指定的值落在被允许的这组值中。

许可控制

包含 PodSecurityPolicy 的 许可控制,允许控制集群资源的创建和修改,基于这些资源在集群范围内被许可的能力。

许可使用如下的方式为 Pod 创建最终的安全上下文:

  • 检索所有可用的 PSP。
  • 生成在请求中没有指定的安全上下文设置的字段值。
  • 基于可用的策略,验证最终的设置。

如果某个策略能够匹配上,该 Pod 就被接受。如果请求与 PSP 不匹配,则 Pod 被拒绝。

Pod 必须基于 PSP 验证每个字段。

开启

如果需要开启PodSecurityPolicy,需要在kube-apiserver的启动参数中设置如下参数

--enable-admission-plugins=PodSecurityPolicy

在开启PodSecurityPolicy准入控制器后,k8s默认不允许创建任何Pod,需要创建PodSecurityPolicy和RBAC授权策略,Pod才能创建成功。

注:修改kube-apiserver配置文件/etc/kubernetes/manifests/kube-apiserver.yaml,由于是static
pod,所以修改就会生效。

系统默认此参数为:

--enable-admission-plugins=NodeRestriction

操作Pod 安全策略

创建PodSecurityPolicy对象之后,就可以成功创建pod资源了

创建 Pod 安全策略

下列PodSecurityPolicy表示是不允许创建特权模式的Pod

apiVersion: policy/v1beta1 
kind: PodSecurityPolicy
metadata:
  name: psp-non-privileged
spec:
  privileged: false  #不允许特权模式的Pod
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  runAsUser:
    rule: RunAsAny
  fsGroup:
    rule: RunAsAny
  volumes:
  - '*'

获取 Pod 安全策略列表

获取已存在策略列表,使用 kubectl get:

$ kubectl get psp
NAME        PRIV   CAPS  SELINUX   RUNASUSER         FSGROUP   SUPGROUP  READONLYROOTFS  VOLUMES
permissive  false  []    RunAsAny  RunAsAny          RunAsAny  RunAsAny  false           [*]
privileged  true   []    RunAsAny  RunAsAny          RunAsAny  RunAsAny  false           [*]
restricted  false  []    RunAsAny  MustRunAsNonRoot  RunAsAny  RunAsAny  false           [emptyDir secret downwardAPI configMap persistentVolumeClaim projected]

修改 Pod 安全策略

通过交互方式修改策略,使用 kubectl edit:

$ kubectl edit psp permissive

该命令将打开一个默认文本编辑器,在这里能够修改策略。

删除 Pod 安全策略

一旦不再需要一个策略,很容易通过 kubectl 删除它:

$ kubectl delete psp permissive
podsecuritypolicy "permissive" deleted

根据安全策略创建pod

上面的PodSecurytiPolicy是设置了不允许创建特权模式的Pod,例如,在下面的YAML配置文件pod-privileged.yaml中为Pod设置了特权模式:

apiVersion: v1
kind: Pod
metadata:
  name: nginx
spec:
  containers:
  - name
最低0.47元/天 解锁文章
K8S系列】Pod重启策略及重启可能原因
颜淡慕潇
01-30 1万+
1 重启策略 1.1Always Pod中的容器,不管因为什么原因停止,都会自动重启。 该为默认策略, 没有定义重启策略时,默认的就是always 1.2OnFailure Pod中的容器,非正常停止/异常退出时,会自动重启容器,如果是正常停止,则不会 1.3Nerver Pod中容器不管以什么原因退出,都不会自动重启容器 自动重启的可能原因: 1.Xms超出了k8s分配 2.docker容器的内存限制 3.出现OOMKilled事件
Kubernetes Pod Security Policies (PSP)解析
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-10 533
Pod Security Policies (PSP) 是 Kubernetes 中一个已经废弃的功能,它曾用于控制Pod及其容器的运行时安全属性,比如容器是否能运行在特权模式下、是否能使用特定的Linux功能、挂载什么样的卷等。PSP作为一种集群级别的策略,帮助管理员定义了一系列规则,以确保Pod按照组织的安全标准运行。
k8s安全机制:Pod Security Policy与Security Context
风向决定发型丶的博客
11-03 1186
自从首次引入 PodSecurityPolicy 以来, PSP 存在一些严重的可用性问题, 只有做出断裂式的改变才能解决。PodSecurityPolicy (PSP) 在 Kubernetes 1.21 中被弃用, 在Kubernetes v1.25会被移除。替代方案Pod Security Standard(Pod安全标准)。使用 Pod 安全标准的 PSP 来获得和目前 PSP 替代策略相似的功能。
Kubernetes安全策略实战:从PodSecurityPolicyPod Security Admission
最新发布
sre救赎之路
05-07 782
虽然PSP已退出历史舞台,但其设计理念仍在PSA中延续。建议生产环境尽快迁移至PSA,并结合策略引擎(如Kyverno)实现更灵活的管控。安全策略的终极目标不是限制,而是为业务提供“安全的自由”——在保障底线的前提下,最大化创新效率。
k8s资源之podSecurityPolicy
mark's technic world
01-09 1764
发布一个k8s部署视频:https://edu.youkuaiyun.com/course/detail/26967 课程内容:各种k8s部署方式。包括minikube部署,kubeadm部署,kubeasz部署,rancher部署,k3s部署。包括开发测试环境部署k8s,和生产环境部署k8s。 腾讯课堂连接地址https://ke.qq.com/course/478827?taid=4373109931...
k8s - pod安全策略
我的博客
07-03 290
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。 问:k8spod安全策略都有哪些?如何配置? 答: k8s - pod安全策略 内容 已授权容器的运行 privileged 为容器添加默认的一组能力 defaultAddCapabilities 为容器去掉某些能力 requiredDropCapabilities 容器能够请求添加某些能力 allowedCapabilities 控制卷类型的使用 volumes 主机网络的使用 hostN.
kubernetes--pod安全策略podSecurityPolicy
m0_57911290的博客
02-16 4488
Kubernetespod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。使用PSP对象定义一组pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被K8s接受。PodSecurityPolicyKubernetes v1.21 中被弃用, 在 Kubernetes v1.25 中被移除。
k8sPod安全策略
weixin_37337210的博客
01-20 1673
导读 Pod容器想要获取集群的资源信息,需要配置角色和ServiceAccount进行授权。为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod安全策略进行管理。 Pod特权模式 容器内的进程获得的特权几乎与容器外的进程相同。使用特权模式,可以更容易地将网络和卷插件编写为独立的pod,不需要编译到kubelet中。 PodSecurityPolicy 官网定义 Pod 安全策略Pod Security Polic
k8spod的调度策略之pod的亲和性调度与反亲和性调度 一文搞懂 k8s中创建的pod如何调度?
soso678的博客
02-26 1635
接上文写的Node亲和性调度https://blog.youkuaiyun.com/soso678/article/details/144777397。
k8spod详解(K8s Pod Detailed Explanation )
Linux运维老纪的博客
10-05 1231
Podk8s中最小的资源管理组件,Pod 也是最小化运行容器化应用的资源对象。一个 Pod 代表着集群中运行的一个进程。kubernetes 中其他大多数组件都是围绕着 Pod 来进行支撑和扩展 Pod 功能的,例如用于管理 Pod 运行的 StatefulSet 和 Deployment 等控制器对象,用于暴露 Pod 应用的 Service 和 Ingress 对象,为 Pod 提供存储的 PersistentVolume 存储资源对象等.本章详细介绍pod.
K8S Pod安全策略 Pod Security Admission 介绍 | K8S Internals 系列第一期
BoCloud博云
04-06 2777
容器编排之争在 Kubernetes 一统天下局面形成后,K8S 成为了云原生时代的新一代操作系统。K8S 让一切变得简单了,但自身逐渐变得越来越复杂。【K8S Internals 系列专栏】围绕 K8S 生态的诸多方面,将由博云容器云研发团队定期分享有关调度、安全、网络、性能、存储、应用场景等热点话题。希望大家在享受 K8S 带来的高效便利的同时,又可以如庖丁解牛般领略其内核运行机制的魅力。
Kubernetes Pod Security Policies详解
爱死亡机器人
06-01 1624
版本 功能状态: Kubernetes v1.21 [deprecated] PodSecurityPolicyKubernetes v1.21 起已弃用,并将在 v1.25 中删除。 Pod 安全策略启用对 Pod 创建和更新的细粒度授权 介绍 PodSecurityPolicy对象定义一组条件,一个pod必须以被接受进入系统,以及用于相关字段默认值运行。它们允许管理员控制以下内容: 运行特权容器 privileged 主机命名空间的使用 hostPID, hostIPC 主机网
Pod 安全策略
爱死亡机器人
01-05 300
https://kubernetes.io/zh/docs/concepts/policy/pod-security-policy/
pod安全策略(PSP)
教Linux的李老师
06-27 365
启用pod安全策略 禁止创建特权模式pod
容器编排技术 -- Pod 安全策略
YunWisdom
08-21 1044
容器编排技术 -- Pod 安全策略 1什么是 Pod 安全策略? 1.1RunAsUser 1.2SELinux 1.3SupplementalGroups 1.4FSGroup 1.5控制卷 1.6主机网络 1.7允许的主机路径 2许可 3创建 Pod 安全策略 4获取 Pod 安全策略列表 5修改 Pod 安全策略 6...
二十一、Pod安全策略
爱吃西红柿的博客
02-16 656
为了更精细的控制pod启动或者更新时的安全管理,kubernetes从1.5版本开始引入podSecurityPolicy资源对象对pod安全策略进行管理。podSecurityPolicy是集群范围内的资源对象,不属于命名空间范围。
K8s Pod Security Policy实践
小楼一夜听春雨,深巷明朝卖杏花
07-10 2381
什么是 Pod 安全策略Pod 安全策略Pod Security Policy)是集群级别的资源,它能够控制 Pod 规约 中与安全性相关的各个方面。PodSecurityPolicy对象定义了一组 Pod 运行时必须遵循的条件及相关字段的默认值,只有 Pod 满足这些条件 才会被系统接受。 Pod 安全策略允许管理员控制如下方面: 控制的角度 字段名称 运行特权容器 privileged 使用宿主名字空间 hostPID、hostIPC 使用宿主的网络和端口 ...
K8S学习指南(39)-k8s权限管理对象 PodSecurityPolicy
俞兆鹏的博客
12-25 1247
通过本文,我们深入了解了Kubernetes中权限管理对象PodSecurityPolicy的基本概念、创建方式,并通过详细的示例演示了如何手动创建PodSecurityPolicy,并将其与Role和RoleBinding关联,以实现对Pod的安全控制。在示例中,我们将演示如何手动创建一个PodSecurityPolicy,并将其与集群中的Role和RoleBinding关联,以实现对Pod的安全控制。的PodSecurityPolicy,定义了一系列安全规则,包括不允许特权容器、禁止使用主机网络等。
Kubernetes PodSecurityPolicy
来啊 快活啊
02-01 1905
参考 Enforcing cluster-wide policies for a Kubernetes-based Docker cluster Pod 安全策略 Kubernetes-深入分析集群安全机制 Kubernetes 部署的最佳安全实践
K8S与容器安全:架构设计与防护策略
文档涵盖了角色基础的访问控制、资源配额、Pod安全策略、日志审计、秘密保护以及各种安全检测工具的使用。" 在K8S及镜像容器安全架构设计中,有几个关键点是不容忽视的: 1. **Kubernetes安全架构**:Kubernetes...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值