在Kubernetes中,Pod是最小的可部署对象,一个Pod可以理解为一个运行在单个节点上的容器集合。Pod的设计目标是为了帮助开发者和管理员更好地管理和保护其应用程序。然而,在共享运行环境中,Pod容易成为安全漏洞的来源。为了解决这种问题,Kubernetes提供了Pod Security Policy(PSP)机制。
什么是 Pod Security Policy(PSP)
Pod Security Policy(PSP)是一个 K8s 资源对象。它定义了在一个后代 Pod 中什么是被允许的。使用 Pod Security Policy ,您可以限制容器可以访问的主机文件和其他资源,以及容器可以运行的用户和组。这可以确保在 Kubernetes 集群上运行的容器的安全性。
通俗来讲,PSP就是定义了一个集群级别的安全策略,为Pod添加了额外的安全层。PSP包括了以下三个主要的组件:运行策略、访问控制和默认策略。
- 运行策略定义了哪些容器运行的用户和组,容器的安全上下文信息以及哪些 Linux 安全功能如 AppArmor 适用于容器。
- 访问控制定义了哪些 Kubernetes API 和 Pod 前端可以访问 Pod,也就是为什么事件是由哪个实体的身份验证。
- 默认策略定义了如果没有为 Pod 找到运行策略或访问策略如何进行访问控制。
如何定义 Pod Security Policy(PSP)
首先需要在 K8s 集群上启用 Pod Security Policy 功能,可以通过以下方式将 admissionregistration.k8s.io/v1beta1 API Group 加入到集群中:
-- -------------------- ---- ------- ----------- ------------------------ ----- ----------------- --------- ----- ------ ----- ----------- ----- -------- ----- -------- ------------------- ----- --------- ------- - ---- - ---- ----- ---------- ----- ---------------- -------- ----- --------- ------- - ---- - ---- -----
然后定义好自己的Pod Security Policy, 以my-psp
为例。
我们可以把以下内容整理进上述的manifest中,生成我们自定义的 PSP:
- 主机名称:定义了容器是否可以使用主机网络命名空间,并指定了使用哪种命名空间。
- 特权容器:指定是否可以执行特权容器,包括当容器使用主机文件系统,以及设置了容器的特权模式。
- SELinux:定义如何处理容器的 SELinux 上下文信息。
- 用户 ID 和群 ID:指定容器使用的用户ID和群ID,以及它是否必须使用
MustRunAsNonRoot
。 - 文件系统组:指定如何处理容器的文件系统组。
如何使用 Pod Security Policy(PSP)
我们可以通过以下步骤使用 Pod Security Policy (PSP) 保障安全:
- 创建一个 Pod Security Policy 到您的集群,因为我们要使用这个 Policy 来确保容器的安全,确保使用合适的 PodSecurityPolicy 实例来完成。确定保存了这个policy的命名空间以及policy的名称,我们需要使用 kubectl 命令行工具来创建这个policy。
kubectl apply -f <psp-file.yaml>
请将 <psp-file.yaml>
替换为您实际使用的概述已定义策略的 YAML 文件名称。
- 将 Policy 绑定到希望使用该策略的Namespace中的ServiceAccount,并确保在添加 PodSecurityPolicy 到用户角色或角色绑定上,已经添加了 admissionregistration.k8s.io/v1beta1 API。
kubectl create rolebinding <binding-name> --role=<role-name> --serviceaccount=<namespace>:<service-account-name>
请替换 <binding-name>
, <role-name>
, <namespace>
,和 <service-account-name>
与实际内容。
- 完成上述步骤后,您可以将 Pod Security Policy 分配给 Pod。首先,打开 Pod definition YAML 文件,添加
securityContext
字段:
-- -------------------- ---- ------- ----------- -- ----- --- --------- ----- ---------- ----- ---------------- --------------- ------ ------------ ----- --------------- ----- ------ ----- -------- ------ ---------
在 securityContext 字段中,我们可以指定 PS 要使用的许多字段,如 SE Linux 上下文、用户、角色等。根据需要添加所需的项目。请将 <pod-name>
替换为实际想要创建的Pod名称。
- 部署并检查已启用 Pod Security Policy。 我们现在可以通过创建 Pod 并检查它是否正常来检查已启用 Pod Security Policy。使用以下命令在命令行中部署Pod:
kubectl apply -f <pod-file.yaml>
请将 <pod-file.yaml>
替换为您实际使用的包含要部署的容器的 YAML 文件名称。
示例代码
以下是一个 Pod Security Policy(PSP)示例:
-- -------------------- ---- ------- --- ----- ----------------- ----------- -------------- --------- ----- -------------- ----- ----------- ----- -------- ----- ---------- -------- ----- ---------- ------------------- ----- ---------- ---------- ----- ------------------ -------- - ----------- - ---------- - ----------- - -------- - ------------- - -----------------------
该配置禁用了privileged
容器,限制了高危卷的使用(仅允许使用受支持的卷),并强制容器执行MustRunAsNonRoot
。
结论
通过简单的几个步骤,我们就可以在 K8s 集群上使用 Pod Security Policy(PSP)保障容器和集群的安全。PSP 为您提供了越来越多的功能和安全标准,可以保证集群中运行的Pods隔离性、神经网络安全性和策略约束性。让我们一起来保护我们的应用与集群吧!
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/67178284ad1e889fe221d896