- 综合排序
- 最热优先
- 最新优先
- 来自专栏CNCF
PodSecurityPolicy:历史背景
PodSecurityPolicy 与其他专门的准入控制插件一样,作为内置的策略 API,对有关 Pod 安全设置的特定字段提供细粒度的权限。 PodSecurityPolicy 的诞生 PodSecurityPolicy 源自 OpenShift 的 SecurityContextConstraints (SCC), 它出现在 Red Hat 之后,进行了许多改进和修复,以构建最近 Kubernetes 版本的 PodSecurityPolicy 功能。 参考资料 [1] PodSecurityPolicy 弃用:过去、现在和未来: https://kubernetes.io/blog/2021/04/06/podsecuritypolicy-deprecation-past-present-and-future v=HsRRmlTJpls [18] PodSecurityPolicy 弃用:过去、现在和未来: https://kubernetes.io/blog/2021/04/06/podsecuritypolicy-deprecation-past-present-and-future
71030编辑于 2022-11-28 - 来自专栏CNCF
Kubernetes将废弃PodSecurityPolicy
PodSecurityPolicy是集群级别的Pod安全策略,其对Pod的操作进行细粒度的授权。 一、困境 当前PodSecurityPolicy特性存在以下问题: 1. 授权模型存在缺陷 2. 功能易开难关 3.
92040发布于 2021-01-27 - 来自专栏乔边故事
kubernetes中其他控制器之PodSecurityPolicy
PodSecurityPolicy是集群级别的Pod安全策略,自动为集群中的Pod和Volume设置Security Context。 DefaultStorageClass,DefaultTolerationSeconds,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota,PodSecurityPolicy 允许将特权设置用于某些Pod,比如允许在特定命名空间下创建Pod; 首先,创建一个默认策略: psp-restrictive.yaml apiVersion: policy/v1beta1 kind: PodSecurityPolicy - 'projected' allowedCapabilities: - '*' 然后直接创建这个PSP对象: # kubectl apply -f psp-restrictive.yaml podsecuritypolicy.policy 用于那些需要提升权限的Pod,比如kube-proxy,它就需要hostNetwork权限: psp-permissive.yaml apiVersion: policy/v1beta1 kind: PodSecurityPolicy
1.8K10发布于 2020-03-23 - 来自专栏CNCF
弃用PodSecurityPolicy:过去、现在和未来
Kubernetes 1.21 启动 PodSecurityPolicy 的弃用过程。与所有已弃用的特性一样,PodSecurityPolicy 将在今后的几个版本中继续发挥完全的功能。 PodSecurityPolicy 是什么? PodSecurityPolicy[2]是一个内置的准入控制器[3],它允许集群管理员控制 Pod 规范的安全敏感方面。 首先,在集群中创建一个或多个 PodSecurityPolicy 资源,以定义 Pod 必须满足的需求。然后,创建 RBAC 规则来控制哪个 PodSecurityPolicy 应用于给定的 pod。 关于 PodSecurityPolicy 还有一点需要了解:它与PodSecurityContext[4]是不同的。 为什么 PodSecurityPolicy 会消失?
1.8K20发布于 2021-04-21 - 来自专栏山河已无恙
K8s Pod 安全认知:从OpenShift SCC 到K8s PSP 弃用以及现在的 PSA
PSP 即为 K8s 最早的安全策略,即 PodSecurityPolicy ,PodSecurityPolicy 源自 OpenShift SecurityContextConstraints ( 参数 创建 PodSecurityPolicy,创建了一个名为 "restricted-psp" 的 PodSecurityPolicy,其中容器不能以特权模式运行,必须以非 root 用户身份运行, 创建一个 ClusterRole,并将 PodSecurityPolicy 绑定到该 ClusterRole。 从Kubernetes 1.21版本开始,PodSecurityPolicy(PSP)已被标记为已弃用,,从 Kubernetes v1.25 开始,PodSecurityPolicy (PSP) 准入控制器已被移除 从Kubernetes 1.21版本开始,PodSecurityPolicy(PSP)已被标记为已弃用,,从 Kubernetes v1.25 开始PodSecurityPolicy (PSP) 准入控制器已被移除
78220编辑于 2023-09-11 - 来自专栏Liusy01
k8s之Pod安全策略
为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod的安全策略进行管理。 开启 如果需要开启PodSecurityPolicy,需要在kube-apiserver的启动参数中设置如下参数 --enable-admission-plugins=PodSecurityPolicy 在开启PodSecurityPolicy准入控制器后,k8s默认不允许创建任何Pod,需要创建PodSecurityPolicy和RBAC授权策略,Pod才能创建成功。 创建PodSecurityPolicy 下列PodSecurityPolicy表示是不允许创建特权模式的Pod apiVersion: policy/v1beta1 kind: PodSecurityPolicy PodSecurityPolicy配置详解 在PodSecurityPolicy对象中可以设置下列字段来控制Pod运行时的各种安全策略 (1)特权模式相关配置 privileged:是否允许Pod以特权模式运行
2.3K20发布于 2020-12-02 - 来自专栏木二天空
035.集群安全-Pod安全
一 Pod安全 1.1 PodSecurityPolicy启用 为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod的安全策略进行管理 解释:如上PodSecurityPolicy“psp-non-privileged”设置了privileged:false,表示不允许创建特权模式的Pod。 二 PodSecurityPolicy配置详解 在PodSecurityPolicy对象中可以设置下列字段来控制Pod运行时的各种安全策略。 2.8 常见PodSecurityPolicy安全策略配置 示例1:基本没有限制的安全策略,允许创建任意安全设置的Pod。 策略之后,系统将对Pod和Container级别的安全设置进行校验,对于不满足PodSecurityPolicy安全策略的Pod,系统将拒绝创建。
77611发布于 2020-03-24 - 来自专栏伪架构师
Kubernetes 中的 Pod 安全策略
很多人分不清 SecurityContext 和 PodSecurityPolicy 这两个关键字的差别,其实很简单: SecurityContext 是 Pod 中的一个字段,而 PSP 是一个独立的资源类型 用 RBAC 进行授权: $ kubectl create role psp:noprivileged \ --verb=use \ --resource=podsecuritypolicy :kube-proxy 80m gce:podsecuritypolicy:metadata-agent 80m gce:podsecuritypolicy :metadata-proxy 80m gce:podsecuritypolicy:nodes 80m ... 追查下去: $ kubectl get rolebinding gce:podsecuritypolicy:metadata-proxy -o yaml ... roleRef: apiGroup:
2K10发布于 2020-05-07 - 来自专栏我的小碗汤
Kubernetes 1.25 中的重大更改和删除
关于 PodSecurityPolicy 的说明 我们在 v1.21 中弃用 PodSecurityPolicy[2],在 Kubernetes v1.25 中将删除它。 PodSecurityPolicy 的复杂且经常令人困惑的用法需要进行更改,不幸的是,这将是破坏性更改。 如果您当前依赖 PodSecurityPolicy,请按照迁移到 Pod Security Admission[3]的说明进行操作。 Kubernetes v1.25 的主要变化 除了删除 PodSecurityPolicy 之外,Kubernetes v1.25 还包括几项重大更改。 : https://kubernetes.io/blog/2021/04/06/podsecuritypolicy-deprecation-past-present-and-future/ [3] 迁移到
3.6K20编辑于 2023-03-19 - 来自专栏MoeLove
K8S 生态周报| Prometheus v2.26 发布, 带来众多实用特性
exists 等命令,来判断对应资源是否存在; 更多关于此版本的其他变更,请参考其 ReleaseNote[3] 上游进展 Kubernetes v1.21 即将发布,将带来众多有用的更新,敬请期待; PodSecurityPolicy (PSP)在 v1.21 中已弃用,KEP 2579 是相对应的增强建议,关于 PSP 相关的内容可参考 k8s 官方的博客内容 PodSecurityPolicy Deprecation: Past, releases/tag/v2.26.0 [3] Podman v3.1.0: https://github.com/containers/podman/releases/tag/v3.1.0 [4] PodSecurityPolicy Deprecation: Past, Present, and Future: https://kubernetes.io/blog/2021/04/06/podsecuritypolicy-deprecation-past-present-and-future
99840发布于 2021-04-22 - 来自专栏MoeLove
K8S 生态周报| K8s v1.25 将 GlusterFS 卷插件废弃
PodSecurityPolicy 已经被删除,请迁移至 PodSecurity Admission Controller 持续关注「k8s生态」的小伙伴应该还记得,我从去年 Kubernetes v1.21 时候就介绍过,PodSecurityPolicy (PSP)被废弃,将通过内置 PodSecurity Admission 来进行替代。 中的准入控制(Admission Controller)》 和 《云原生策略引擎 Kyverno》 等文章,介绍一些 Kubernetes 中的 Admission 机制和通用的策略引擎,使用它们也可以作为 PodSecurityPolicy 目前在 v1.25 中,PodSecurityPolicy 已经被删除,如果你之前有在使用 PodSecurityPolicy,并且打算将 Kubernetes 集群升级到 v1.25 的话,请先进行迁移 只要你的 Kubernetes 集群版本先升级到 v1.22 以上,并且开启 PodSecurity 特性,那么就可以按照 Migrate from PodSecurityPolicy to the Built-In
1K10编辑于 2022-12-07 - 来自专栏伪架构师
Kubernetes 为什么需要策略支持
Kubernetes 中内置了 RBAC、SecurityContext、PodSecurityPolicy 几个对象,用于为集群的运维和运营工作提供安全支持,那么为什么还要出现 Gatekeeper、 fsGroupChangePolicy runAsGroup runAsNonRoot runAsUser seLinuxOptions supplementalGroups sysctls windowsOptions PodSecurityPolicy PSP 像是 RBAC 的延伸,通过 PodSecurityPolicy 对象定制 Pod 的安全规则,再借助 RBAC 的形式授权给用户,从而允许或者禁止特定用户/ServiceAccount 所创建的
90910发布于 2020-07-30 - 来自专栏云原生生态圈
kubernetes-Pod安全策略psp实践
通过将PodSecurityPolicy关键词添加到 --enbale-admission-plugins 配置数组后,可以开启PSP权限认证功能。 DefaultStorageClass,DefaultTolerationSeconds,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota,PodSecurityPolicy 注意:开启PodSecurityPolicy功能后,即使没有使用任何安全策略,都会使得创建pods(包括调度任务重新创建pods)失败 Testing 通过下面的deployment yaml文件测试在没有 下面将创建两个policies, Restrictive Policy 下面是典型的限制资源使用的restrictive policy: apiVersion: policy/v1beta1 kind: PodSecurityPolicy apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: permissive spec: privileged: true
1.3K10发布于 2021-02-26 - 来自专栏Godev
外包精通--0成本学习IT运维k8s之安全(一)kube-bench
is set (Manual) [WARN] 1.2.13 Ensure that the admission control plugin SecurityContextDeny is set if PodSecurityPolicy plugin NamespaceLifecycle is set (Automated) [FAIL] 1.2.16 Ensure that the admission control plugin PodSecurityPolicy master node and set the --enable-admission-plugins parameter to include SecurityContextDeny, unless PodSecurityPolicy kube-apiserver.yaml on the master node and set the --enable-admission-plugins parameter to a value that includes PodSecurityPolicy ,PodSecurityPolicy,...
54410编辑于 2024-05-17 - 来自专栏小陈运维
在 k8s(kubernetes)中使用 Loki 进行日志监控
config WARNING: This chart is deprecated W1203 07:31:04.751065 212245 warnings.go:70] policy/v1beta1 PodSecurityPolicy deprecated in v1.21+, unavailable in v1.25+ W1203 07:31:04.754254 212245 warnings.go:70] policy/v1beta1 PodSecurityPolicy deprecated in v1.21+, unavailable in v1.25+ W1203 07:31:04.833003 212245 warnings.go:70] policy/v1beta1 PodSecurityPolicy deprecated in v1.21+, unavailable in v1.25+ W1203 07:31:04.833003 212245 warnings.go:70] policy/v1beta1 PodSecurityPolicy
1.5K30编辑于 2021-12-14 - 来自专栏k8s技术圈
Docker 和 Kubernetes 中的 root 与 privileged
- name: nginx image: nginx securityContext: privileged: true 此外 Kubernetes 还包含一个名为 PodSecurityPolicy apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: example spec: privileged: false 我们可以通过不以 root 用户运行、不以特权模式运行以及添加 SecurityContext 和 PodSecurityPolicy 来实现更高的容器安全。
5.9K30发布于 2020-11-20 - 来自专栏伪架构师
Kubernetes 的授权和审计
根据特权情况编写 PodSecurityPolicy 策略。 为策略设置 Role 或者 ClusterRole,绑定到 ServiceAccount。 例如使用这个插件在一个启动了 Calico 的 Kubeadm 集群上生成的 PSP(kubectl advise-psp inspect): apiVersion: policy/v1beta1 kind: PodSecurityPolicy 完成所有步骤之后,在 API Server 的 --enable-admission-plugins 参数里面加入 PodSecurityPolicy,重新启动服务即可。
85210发布于 2020-05-27 - 来自专栏CSDN搜“看,未来”
kubernetes API 访问控制之:准入控制
PodSecurityPolicy 该插件用于创建和修改pod,使用Pod Security Policies时需要开启。 当 Kubernetes <1.6.0版本时,API服务器需要启用扩展名/ v1beta1 / podsecuritypolicy API扩展组(–runtime-config=extensions/v1beta1 /podsecuritypolicy=true)。
84031编辑于 2022-06-05 - 来自专栏CNCF
Kubernetes 1.24的删除和弃用
v1.25 版本还将删除 PodSecurityPolicy,这在 Kubernetes 1.21 中已给弃用,不会升级到 stable。 有关更多信息,请见PodSecurityPolicy Deprecation: Past, Present, and Future[27]。 HorizontalPodAutoscaler API (autoscaling/v2beta1) The beta PodDisruptionBudget API (policy/v1beta1) The beta PodSecurityPolicy 插件: https://kubernetes.io/docs/tasks/tools/install-kubectl-linux/#install-kubectl-convert-plugin [27]PodSecurityPolicy Deprecation: Past, Present, and Future: https://kubernetes.io/blog/2021/04/06/podsecuritypolicy-deprecation-past-present-and-future
2K40编辑于 2022-04-19 - 来自专栏轻量级微服务
Kubernetes Dynamic Volume Provisioning - NFS Provisioner
安装 NFS 工具包 所有节点 (CentOS 7) yum -y install nfs-utils 创建 NFS Provisioner 1、新建 ServiceAccount、PodSecurityPolicy v1 kind: ServiceAccount metadata: name: nfs-provisioner --- apiVersion: extensions/v1beta1 kind: PodSecurityPolicy
78700发布于 2018-08-02
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号