K8S学习指南(39)-k8s权限管理对象 PodSecurityPolicy

文章目录

引言

在Kubernetes(K8s)中,PodSecurityPolicy(PSP)是一种重要的权限管理对象,用于定义和控制Pod的安全策略。通过PodSecurityPolicy,集群管理员可以强制执行安全标准,确保Pod在运行时遵循安全最佳实践。本文将深入研究Kubernetes中的PodSecurityPolicy,包括其基本概念、创建方式以及详细示例。

PodSecurityPolicy基本概念

1. PodSecurityPolicy是什么?

PodSecurityPolicy是Kubernetes中的一种资源对象,用于定义Pod的安全策略。它允许集群管理员规定Pod的安全要求,例如容器的权限、文件系统访问权限等。

2. PodSecurityPolicy的作用

PodSecurityPolicy的主要作用是确保Pod在运行时不会执行不安全的操作,提高集群的整体安全性。它可以限制Pod使用的特权、文件系统挂载、主机网络访问等。

3. 与RBAC的关系

PodSecurityPolicy通常与RBAC(Role-Based Access Control)结合使用,通过ClusterRole和ClusterRoleBinding定义的规则来控制哪些用户或服务账户可以使用哪些PodSecurityPolicy。

PodSecurityPolicy的创建方式

1. 手动创建PodSecurityPolicy

可以手动创建PodSecurityPolicy,并在集群中为其配置相应的安全规则。以下是手动创建PodSecurityPolicy的示例:

yaml 复制代码
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restricted-psp
spec:
  privileged: false
  seLinux:
    rule: RunAsAny
  runAsUser:
    rule: MustRunAsNonRoot
  fsGroup:
    rule: MustRunAs
  volumes:
  - '*'
  hostNetwork: false
  hostIPC: false
  hostPID: false
  allowPrivilegeEscalation: false

上述示例中,创建了一个名为restricted-psp的PodSecurityPolicy,定义了一系列安全规则,包括不允许特权容器、禁止使用主机网络等。

2. 使用PSP Template

可以使用PSP Template来定义一组通用的安全规则,并在创建PodSecurityPolicy时引用该Template。以下是使用PSP Template的示例:

yaml 复制代码
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: my-psp
spec:
  privileged: false
  allowPrivilegeEscalation: false
  volumes:
  - '*'
yamlapiVersion: policy/v1beta1
kind: PodSecurityPolicyList
items:
- metadata:
    name: psp-template
  spec:
    privileged: false
    allowPrivilegeEscalation: false
    volumes:
    - '*'

上述示例中,创建了一个名为psp-template的PSP Template,然后在另一个PodSecurityPolicy中引用了这个Template。

PodSecurityPolicy示例演示

在示例中,我们将演示如何手动创建一个PodSecurityPolicy,并将其与集群中的Role和RoleBinding关联,以实现对Pod的安全控制。

步骤一:创建PodSecurityPolicy

创建一个名为restricted-psp的PodSecurityPolicy:

yaml 复制代码
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restricted-psp
spec:
  privileged: false
  seLinux:
    rule: RunAsAny
  runAsUser:
    rule: MustRunAsNonRoot
  fsGroup:
    rule: MustRunAs
  volumes:
  - '*'
  hostNetwork: false
  hostIPC: false
  hostPID: false
  allowPrivilegeEscalation: false

步骤二:创建Role和RoleBinding

创建一个名为pod-editor的Role,定义对Pod资源的编辑权限:

yaml 复制代码
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: pod-editor
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "create", "update", "delete"]

创建一个RoleBinding,将ServiceAccount defaultpod-editor Role关联:

yaml 复制代码
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: default-pod-editor
subjects:
- kind: ServiceAccount
  name: default
  namespace: default
roleRef:
  kind: Role
  name: pod-editor
  apiGroup: rbac.authorization.k8s.io

步骤三:关联PodSecurityPolicy和RoleBinding

将PodSecurityPolicy restricted-psp与RoleBinding default-pod-editor关联:

yaml 复制代码
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restricted-psp
spec:
  privileged: false
  seLinux:
    rule: RunAsAny
  runAsUser:
    rule: MustRunAsNonRoot
  fsGroup:
    rule: MustRunAs
  volumes:
  - '*'
  hostNetwork: false
  hostIPC: false
  hostPID: false
  allowPrivilegeEscalation: false
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: default-pod-editor
subjects:
- kind: ServiceAccount
  name: default
  namespace: default
roleRef:
  kind: ClusterRole
  name: restricted-psp
  apiGroup: policy

步骤四:验证PodSecurityPolicy

尝试创建一个使用特权容器的Pod,验证PodSecurityPolicy是否生效:

yaml 复制代码
apiVersion: v1
kind: Pod
metadata:
  name: privileged-pod
spec:
  containers:
  - name: privileged-container
    image: nginx
    securityContext:
      privileged: true

上述Pod创建应该因为不符合restricted-psp的安全规则而被拒绝。

结论

通过本文,我们深入了解了Kubernetes中权限管理对象PodSecurityPolicy的基本概念、创建方式,并通过详细的示例演示了如何手动创建PodSecurityPolicy,并将其与Role和RoleBinding关联,以实现对Pod的安全控制。PodSecurityPolicy作为Kubernetes中的安全机制之一,能够帮助集群管理员强制执行安全标准,确保Pod在运行时遵循安全最佳实践。在实际使用中,需要根据业务需求和安全要求定义合适的PodSecurityPolicy,并结合RBAC进行细粒度的权限控制。

相关推荐
Anna_Tong2 小时前
云原生大数据计算服务 MaxCompute 是什么?
大数据·阿里云·云原生·maxcompute·odps
豆豆豆豆变3 小时前
Docker轻量级可视化工具Portainer
docker·容器·自动化运维
花晓木3 小时前
k8s etcd 数据损坏处理方式
容器·kubernetes·etcd
运维&陈同学3 小时前
【模块一】kubernetes容器编排进阶实战之基于velero及minio实现etcd数据备份与恢复
数据库·后端·云原生·容器·kubernetes·etcd·minio·velero
花晓木3 小时前
k8s备份 ETCD , 使用velero工具进行备份
容器·kubernetes·etcd
大熊程序猿3 小时前
xxl-job docker 安装
运维·docker·容器
liuxuzxx6 小时前
Istio-2:流量治理之简单负载均衡
云原生·kubernetes·istio
上海运维Q先生6 小时前
面试题整理14----kube-proxy有什么作用
运维·面试·kubernetes
怡雪~6 小时前
Kubernetes使用Ceph存储
ceph·容器·kubernetes
小扳14 小时前
微服务篇-深入了解 MinIO 文件服务器(你还在使用阿里云 0SS 对象存储图片服务?教你使用 MinIO 文件服务器:实现从部署到具体使用)
java·服务器·分布式·微服务·云原生·架构