/kubernetes/
Kubernetes Pod安全策略
  1. Kubernetes 入门
    1. Kubernetes 生产环境
      1. Kubernetes 容器运行时
      2. Kubernetes 使用部署工具安装Kubernetes
      3. Kubernetes Windows Kubernetes
    2. Kubernetes 最佳实践
      1. Kubernetes 运行于多可用区环境
      2. Kubernetes 大规模集群的注意事项
      3. Kubernetes 校验节点设置
      4. Kubernetes PKI证书和要求
      5. Kubernetes 强制实施Pod安全性标准
  2. Kubernetes 概述
    1. Kubernetes 简介
    2. Kubernetes 组件
    3. Kubernetes API
  3. Kubernetes 安装
    1. Kubernetes Linux安装
    2. Kubernetes macOS安装
    3. Kubernetes Windows安装
  4. Kubernetes 对象
    1. Kubernetes 对象简介
    2. Kubernetes 对象管理
    3. Kubernetes 对象名称和IDs
    4. Kubernetes 名字空间
    5. Kubernetes 标签和选择算符
    6. Kubernetes 注解
    7. Kubernetes Finalizers
    8. Kubernetes 字段选择器
    9. Kubernetes 属主与附属
    10. Kubernetes 推荐使用的标签
  5. Kubernetes 架构
    1. Kubernetes 节点
    2. Kubernetes 控制面到节点通信
    3. Kubernetes 控制器
    4. Kubernetes 云控制器管理器
    5. Kubernetes 垃圾收集
    6. Kubernetes 容器运行时接口(CRI)
  6. Kubernetes 容器
    1. Kubernetes 镜像
    2. Kubernetes 容器环境
    3. Kubernetes 容器运行时类(Runtime Class)
    4. Kubernetes 容器生命周期回调
  7. Kubernetes Pods
    1. Kubernetes Pod的生命周期
    2. Kubernetes Init容器
    3. Kubernetes Pod拓扑分布约束
    4. Kubernetes 干扰(Disruptions)
    5. Kubernetes 临时容器
  8. Kubernetes 工作负载资源
    1. Kubernetes Deployments
    2. Kubernetes ReplicaSet
    3. Kubernetes StatefulSets
    4. Kubernetes DaemonSet
    5. Kubernetes Jobs
    6. Kubernetes 已完成 Job 的自动清理
    7. Kubernetes CronJob
    8. Kubernetes ReplicationController
  9. Kubernetes 服务、负载均衡和联网
    1. Kubernetes 使用拓扑键实现拓扑感知的流量路由
    2. Kubernetes 服务
    3. Kubernetes Pod 与 Service 的 DNS
    4. Kubernetes 使用 Service 连接到应用
    5. Kubernetes Ingress
    6. Kubernetes Ingress 控制器
    7. Kubernetes 拓扑感知提示
    8. Kubernetes 服务内部流量策略
    9. Kubernetes 端点切片(Endpoint Slices)
    10. Kubernetes 网络策略
    11. Kubernetes IPv4/IPv6 双协议栈
  10. Kubernetes 存储
    1. Kubernetes 卷
    2. Kubernetes 持久卷
    3. Kubernetes 投射卷
    4. Kubernetes 临时卷
    5. Kubernetes 存储类
  11. Kubernetes 配置
    1. Kubernetes 配置最佳实践
    2. Kubernetes ConfigMap
    3. Kubernetes Secret
    4. Kubernetes 为 Pod 和容器管理资源
    5. Kubernetes 使用 kubeconfig 文件组织集群访问
    6. Kubernetes Windows 节点的资源管理
  12. Kubernetes 安全
    1. Kubernetes 云原生安全概述
    2. Kubernetes Pod安全性标准
    3. Kubernetes Pod安全性准入
    4. Kubernetes Pod安全策略
    5. Kubernetes Windows节点的安全性
    6. Kubernetes API访问控制
    7. Kubernetes 基于角色的访问控制良好实践
  13. Kubernetes 策略
    1. Kubernetes 限制范围
    2. Kubernetes 资源配额
    3. Kubernetes 进程ID约束与预留
    4. Kubernetes 节点资源管理器
  14. Kubernetes 调度,抢占和驱逐
    1. Kubernetes 调度器
    2. Kubernetes 将Pod指派给节点
    3. Kubernetes Pod开销
    4. Kubernetes 污点和容忍度
    5. Kubernetes Pod优先级和抢占
    6. Kubernetes 节点压力驱逐
    7. Kubernetes API发起的驱逐
    8. Kubernetes 扩展资源的资源装箱
    9. Kubernetes 调度框架
    10. Kubernetes 调度器性能调优
  15. Kubernetes 集群管理
    1. Kubernetes 管理资源
    2. Kubernetes 集群网络系统
    3. Kubernetes 系统组件指标
    4. Kubernetes 日志架构
    5. Kubernetes 系统日志
    6. Kubernetes 追踪系统组件
    7. Kubernetes 代理
    8. Kubernetes API优先级和公平性
    9. Kubernetes 安装扩展(Addons)
  16. Kubernetes 扩展
    1. Kubernetes 扩展API
      1. Kubernetes 定制资源
      2. Kubernetes 通过聚合层扩展API
    2. Kubernetes Operator模式
    3. Kubernetes 计算、存储和网络扩展
      1. Kubernetes 网络插件
      2. Kubernetes 设备插件
    4. Kubernetes 服务目录
  17. Kubernetes 应用故障排除
    1. Kubernetes 调试Pod
    2. Kubernetes 调试Service
    3. Kubernetes 调试StatefulSet
    4. Kubernetes 调试Init容器
    5. Kubernetes 确定Pod失败的原因
    6. Kubernetes 获取正在运行容器的Shell
    7. Kubernetes 调试运行中的Pod
  18. Kubernetes 集群故障排查
    1. Kubernetes 资源指标管道
    2. Kubernetes 节点健康监测
    3. Kubernetes 使用crictl对Kubernetes节点进行调试
    4. Kubernetes Windows调试提示
    5. Kubernetes 使用telepresence在本地开发和调试服务
    6. Kubernetes 审计
    7. Kubernetes 资源监控工具
  19. Kubernetes 管理集群
    1. Kubernetes 从dockershim迁移
      1. Kubernetes 将节点上的容器运行时从Docker Engine改为containerd
      2. Kubernetes 将Docker Engine节点从dockershim迁移到cri-dockerd
      3. Kubernetes CNI插件相关错误故障排除
      4. Kubernetes 查明节点上所使用的容器运行时
      5. Kubernetes 检查弃用Dockershim是否对你有影响
      6. Kubernetes 从dockershim迁移遥测和安全代理
    2. Kubernetes 用kubeadm进行管理
      1. Kubernetes 使用kubeadm进行证书管理
      2. Kubernetes 配置cgroup驱动
      3. Kubernetes 重新配置kubeadm集群
      4. Kubernetes 升级kubeadm集群
      5. Kubernetes 添加Windows节点
      6. Kubernetes 升级Windows节点
    3. Kubernetes 手动生成证书
    4. Kubernetes 管理内存,CPU和API资源
      1. Kubernetes 为命名空间配置默认的内存请求和限制
      2. Kubernetes 为命名空间配置默认的CPU请求和限制
      3. Kubernetes 配置命名空间的最小和最大内存约束
      4. Kubernetes 为命名空间配置CPU最小和最大约束
      5. Kubernetes 为命名空间配置内存和CPU配额
      6. Kubernetes 配置命名空间下Pod配额
    5. Kubernetes 安装网络策略驱动
      1. Kubernetes 使用Antrea提供NetworkPolicy
      2. Kubernetes 使用Calico提供NetworkPolicy
      3. Kubernetes 使用Cilium提供NetworkPolicy
      4. Kubernetes 使用kube-router提供NetworkPolicy
      5. Kubernetes 使用Romana提供NetworkPolicy
      6. Kubernetes 使用Weave Net提供NetworkPolicy
    6. Kubernetes IP Masquerade Agent用户指南
    7. Kubernetes 云管理控制器
    8. Kubernetes 验证签名的容器镜像
    9. Kubernetes 运行 etcd 集群
    10. Kubernetes 为系统守护进程预留计算资源
    11. Kubernetes 为节点发布扩展资源
    12. Kubernetes 以非root用户身份运行Kubernetes节点组件
    13. Kubernetes 使用CoreDNS进行服务发现
    14. Kubernetes 使用KMS驱动进行数据加密
    15. Kubernetes 使用Kubernetes API访问集群
    16. Kubernetes 使用NUMA感知的内存管理器
    17. Kubernetes 保护集群
    18. Kubernetes 关键插件Pod的调度保证
    19. Kubernetes 升级集群
    20. Kubernetes 名字空间演练
    21. Kubernetes 启用/禁用Kubernetes API
    22. Kubernetes 在Kubernetes集群中使用NodeLocal DNSCache
    23. Kubernetes 在Kubernetes集群中使用sysctl
    24. Kubernetes 在运行中的集群上重新配置节点的kubelet
    25. Kubernetes 在集群中使用级联删除
    26. Kubernetes 声明网络策略
    27. Kubernetes 安全地清空一个节点
    28. Kubernetes 开发云控制器管理器
    29. Kubernetes 开启服务拓扑
    30. Kubernetes 控制节点上的CPU管理策略
    31. Kubernetes 控制节点上的拓扑管理策略
    32. Kubernetes 改变默认StorageClass
    33. Kubernetes 更改PersistentVolume的回收策略
    34. Kubernetes 自动扩缩集群DNS服务
    35. Kubernetes 自定义DNS服务
    36. Kubernetes 调试DNS问题
    37. Kubernetes 迁移多副本的控制面以使用云控制器管理器
    38. Kubernetes 通过名字空间共享集群
    39. Kubernetes 通过配置文件设置Kubelet参数
    40. Kubernetes 配置API对象配额
    41. Kubernetes 限制存储消耗
    42. Kubernetes 静态加密Secret数据
  20. Kubernetes 配置Pods和容器
    1. Kubernetes 为容器和Pod分配内存资源
    2. Kubernetes 为Windows Pod和容器配置GMSA
    3. Kubernetes 为Windows的Pod和容器配置RunAsUserName
    4. Kubernetes 为容器和Pods分配CPU资源
    5. Kubernetes 创建Windows HostProcess Pod
    6. Kubernetes 配置Pod的服务质量
    7. Kubernetes 为容器分派扩展资源
    8. Kubernetes 配置Pod以使用卷进行存储
    9. Kubernetes 配置Pod以使用PersistentVolume作为存储
    10. Kubernetes 配置Pod使用投射卷作存储
    11. Kubernetes 为Pod或容器配置安全上下文
    12. Kubernetes 为Pod配置服务账户
    13. Kubernetes 从私有仓库拉取镜像
    14. Kubernetes 配置存活、就绪和启动探测器
    15. Kubernetes 将Pod分配给节点
    16. Kubernetes 用节点亲和性把Pods分配到节点
    17. Kubernetes 配置Pod初始化
    18. Kubernetes 为容器的生命周期事件设置处理函数
    19. Kubernetes 配置Pod使用ConfigMap
    20. Kubernetes 在Pod中的容器之间共享进程命名空间
    21. Kubernetes 创建静态Pod
    22. Kubernetes 将Docker Compose文件转换为Kubernetes资源
    23. Kubernetes 从PodSecurityPolicy迁移到内置的PodSecurity准入控制器
    24. Kubernetes 使用名字空间标签来实施Pod安全性标准
    25. Kubernetes 通过配置内置准入控制器实施Pod安全标准
  21. Kubernetes 管理Kubernetes对象
    1. Kubernetes 使用配置文件对Kubernetes对象进行声明式管理
    2. Kubernetes 使用Kustomize对Kubernetes对象进行声明式管理
    3. Kubernetes 使用指令式命令管理Kubernetes对象
    4. Kubernetes 使用配置文件对Kubernetes对象进行命令式管理
    5. Kubernetes 使用kubectl patch更新API对象
  22. Kubernetes 管理Secrets
    1. Kubernetes 使用kubectl管理Secret
    2. Kubernetes 使用配置文件管理Secret
    3. Kubernetes 使用Kustomize管理Secret
  23. Kubernetes 给应用注入数据
    1. Kubernetes 为容器设置启动时要执行的命令和参数
    2. Kubernetes 为容器设置环境变量
    3. Kubernetes 定义相互依赖的环境变量
    4. Kubernetes 通过环境变量将Pod信息呈现给容器
    5. Kubernetes 通过文件将Pod信息呈现给容器
    6. Kubernetes 使用Secret安全地分发凭证
  24. Kubernetes 运行应用
    1. Kubernetes 使用Deployment运行一个无状态应用
    2. Kubernetes 运行一个单实例有状态应用
    3. Kubernetes 运行一个有状态的应用程序
    4. Kubernetes 删除StatefulSet
    5. Kubernetes 强制删除StatefulSet中的Pods
    6. Kubernetes Pod水平自动扩缩
    7. Kubernetes HorizontalPodAutoscaler演练
    8. Kubernetes 为应用程序设置干扰预算(Disruption Budget)
    9. Kubernetes 从Pod中访问Kubernetes API
    10. Kubernetes 扩缩StatefulSet
  25. Kubernetes 运行Jobs
    1. Kubernetes 使用CronJob运行自动化任务
    2. Kubernetes 使用工作队列进行粗粒度并行处理
    3. Kubernetes 使用工作队列进行精细的并行处理
    4. Kubernetes 使用索引作业完成静态工作分配下的并行处理
    5. Kubernetes 使用展开的方式进行并行处理
  26. Kubernetes 访问集群中的应用程序
    1. Kubernetes 部署和访问Kubernetes仪表板(Dashboard)
    2. Kubernetes 访问集群
    3. Kubernetes 使用端口转发来访问集群中的应用
    4. Kubernetes 使用服务来访问集群中的应用
    5. Kubernetes 使用Service把前端连接到后端
    6. Kubernetes 创建外部负载均衡器
    7. Kubernetes 列出集群中所有运行容器的镜像
    8. Kubernetes 在Minikube环境中使用NGINX Ingress控制器配置Ingress
    9. Kubernetes 为集群配置DNS
    10. Kubernetes 同Pod内的容器使用共享卷通信
    11. Kubernetes 访问集群上运行的服务
    12. Kubernetes 配置对多集群的访问
  27. Kubernetes 扩展Kubernetes
    1. Kubernetes 使用自定义资源
      1. Kubernetes 使用CustomResourceDefinition扩展Kubernetes API
      2. Kubernetes CustomResourceDefinition的版本
    2. Kubernetes 配置聚合层
    3. Kubernetes 安装一个扩展的API server
    4. Kubernetes 配置多个调度器
    5. Kubernetes 使用HTTP代理访问Kubernetes API
    6. Kubernetes 使用SOCKS5代理访问Kubernetes API
    7. Kubernetes 设置Konnectivity服务
  28. Kubernetes TLS
    1. Kubernetes 为kubelet配置证书轮换
    2. Kubernetes 手动轮换CA证书
    3. Kubernetes 管理集群中的TLS认证
  29. Kubernetes 管理集群守护进程
    1. Kubernetes 对DaemonSet执行滚动更新
    2. Kubernetes 对DaemonSet执行回滚
  30. Kubernetes 安装服务目录
    1. Kubernetes 使用Helm安装Service Catalog
    2. Kubernetes 使用SC安装服务目录
  31. Kubernetes 网络
    1. Kubernetes 使用HostAliases向Pod /etc/hosts文件添加条目
    2. Kubernetes 验证IPv4/IPv6双协议栈
  32. Kubernetes 任务
    1. Kubernetes 调度GPUs
    2. Kubernetes 管理巨页(HugePages)
    3. Kubernetes 配置kubelet镜像凭据提供程序
    4. Kubernetes 用插件扩展kubectl
  33. Kubernetes 安全
    1. Kubernetes 使用AppArmor限制容器对资源的访问
    2. Kubernetes 在集群级别应用Pod安全标准
    3. Kubernetes 在名字空间级别应用Pod安全标准
    4. Kubernetes 使用seccomp限制容器的系统调用
  34. Kubernetes 无状态应用程序
    1. Kubernetes 公开外部IP地址以访问集群中应用程序
    2. Kubernetes 示例:使用Redis部署PHP留言板应用程序
  35. Kubernetes 有状态的应用
    1. Kubernetes StatefulSet基础
    2. Kubernetes 示例:使用Persistent Volumes部署WordPress和MySQL
    3. Kubernetes 示例:使用StatefulSet部署Cassandra
    4. Kubernetes 运行ZooKeeper,一个分布式协调系统
  36. Kubernetes Service
    1. Kubernetes 使用源IP
阅读(4391) (0)

Kubernetes Pod安全策略

2022-05-23 09:24:40 更新

Pod安全策略

FEATURE STATE: Kubernetes v1.21 [deprecated]

Caution: PodSecurityPolicy 自 Kubernetes v1.21 起已弃用,并将在 v1.25 中删除。 我们建议迁移到 Pod 安全准入或 3rd 方准入插件。

Pod 安全策略启用对 pod 创建和更新的细粒度授权。

什么是 Pod 安全策略?

Pod 安全策略是控制 pod 规范的安全敏感方面的集群级资源。 PodSecurityPolicy 对象定义了一组条件,Pod 必须满足这些条件才能被系统接受,以及相关字段的默认值。 它们允许管理员控制以下内容:

控制方面 字段名称
运行特权容器 privileged
主机命名空间的使用 hostPID, hostIPC
主机网络和端口的使用 hostNetwork, hostPorts
卷类型的使用 volumes
主机文件系统的使用 allowedHostPaths
允许特定的 FlexVolume 驱动程序 allowedFlexVolumes
分配拥有 pod 卷的 FSGroup fsGroup
要求使用只读根文件系统 readOnlyRootFilesystem
容器的用户和组 ID runAsUser, runAsGroup, supplementalGroups
限制升级到 root 权限 allowPrivilegeEscalation, defaultAllowPrivilegeEscalation
Linux 功能 defaultAddCapabilities, requiredDropCapabilities, allowedCapabilities
容器的 SELinux 上下文 seLinux
容器的 Allowed Proc Mount 类型 allowedProcMountTypes
容器使用的 AppArmor 配置文件 annotations
容器使用的 seccomp 配置文件 annotations
容器使用的 sysctl 配置文件 forbiddenSysctls,allowedUnsafeSysctls

启用 Pod 安全策略

Pod 安全策略控制被实现为可选的准入控制器。 PodSecurityPolicies 是通过启用准入控制器来实施的,但是在没有授权任何策略的情况下这样做会阻止在集群中创建任何 Pod。

由于 pod 安全策略 API (​policy/v1beta1/podsecuritypolicy​) 独立于准入控制器启用,因此对于现有集群,建议在启用准入控制器之前添加和授权策略。

授权政策

创建 PodSecurityPolicy 资源时,它什么也不做。 为了使用它,请求用户或目标 pod 的服务帐户必须被授权使用该策略,方法是允许策略上的 ​use ​verb。

大多数 Kubernetes pod 不是由用户直接创建的。 相反,它们通常作为 Deployment、ReplicaSet 或其他模板化控制器的一部分通过控制器管理器间接创建。 授予控制器对策略的访问权限将授予该控制器创建的所有 Pod 的访问权限,因此授权策略的首选方法是授予对 Pod 的服务帐户的访问权限

通过 RBAC

RBAC 是一种标准的 Kubernetes 授权模式,可以很容易地用于授权策略的使用。

首先,​Role​ 或 ​ClusterRole ​需要授予使用所需策略的访问权限。 授予访问权限的规则如下所示:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: <role name>
rules:
- apiGroups: ['policy']
  resources: ['podsecuritypolicies']
  verbs:     ['use']
  resourceNames:
  - <list of policies to authorize>

然后 ​(Cluster)Role​ 绑定到授权用户:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: <binding name>
roleRef:
  kind: ClusterRole
  name: <role name>
  apiGroup: rbac.authorization.k8s.io
subjects:
# Authorize all service accounts in a namespace (recommended):
- kind: Group
  apiGroup: rbac.authorization.k8s.io
  name: system:serviceaccounts:<authorized namespace>
# Authorize specific service accounts (not recommended):
- kind: ServiceAccount
  name: <authorized service account name>
  namespace: <authorized pod namespace>
# Authorize specific users (not recommended):
- kind: User
  apiGroup: rbac.authorization.k8s.io
  name: <authorized user name>

如果使用 ​RoleBinding​(不是 ​ClusterRoleBinding​),它只会授予与绑定在同一命名空间中运行的 Pod 的使用权。 这可以与系统组配对以授予对命名空间中运行的所有 pod 的访问权限:

# Authorize all service accounts in a namespace:
- kind: Group
  apiGroup: rbac.authorization.k8s.io
  name: system:serviceaccounts
# Or equivalently, all authenticated users in a namespace:
- kind: Group
  apiGroup: rbac.authorization.k8s.io
  name: system:authenticated

推荐做法

PodSecurityPolicy 正在被一个新的、简化的 ​PodSecurity ​准入控制器所取代。请遵循以下指南来简化从 PodSecurityPolicy 到新准入控制器的迁移:

  1. 将您的 PodSecurityPolicies 限制为 Pod 安全标准定义的策略:
  2. 仅使用 ​system:serviceaccounts:<namespace>​ 组(其中 ​<namespace>​ 是目标命名空间)将 PSP 绑定到整个命名空间。 例如:
    3. apiVersion: rbac.authorization.k8s.io/v1
# This cluster role binding allows all pods in the "development" namespace to use the baseline PSP.
kind: ClusterRoleBinding
metadata:
  name: psp-baseline-namespaces
roleRef:
  kind: ClusterRole
  name: psp-baseline
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: Group
  name: system:serviceaccounts:development
  apiGroup: rbac.authorization.k8s.io
- kind: Group
  name: system:serviceaccounts:canary
  apiGroup: rbac.authorization.k8s.io

故障排除

控制器管理器必须针对安全的 API 端口运行,并且不得具有超级用户权限。

如果控制器管理器通过受信任的 API 端口(也称为 ​localhost ​侦听器)连接,请求将绕过身份验证和授权模块; 所有 PodSecurityPolicy 对象都将被允许,并且用户将能够创建授予自己创建特权容器的能力。

Policy Order 

除了限制 pod 创建和更新之外,pod 安全策略还可用于为其控制的许多字段提供默认值。 当有多个策略可用时,Pod 安全策略控制器根据以下标准选择策略:

  1. PodSecurityPolicies 允许 pod 保持原样,而不更改默认值或改变 pod,是首选。 这些非变异 PodSecurityPolicies 的顺序无关紧要。
  2. 如果 pod 必须是默认的或变异的,则选择第一个允许该 pod 的 PodSecurityPolicy(按名称排序)。

Note: 在更新操作期间(在此期间不允许对 pod 规范进行更改),仅使用非变异 PodSecurityPolicies 来验证 pod。

例子

此示例假设您有一个正在运行的集群并启用了 PodSecurityPolicy 准入控制器,并且您拥有集群管理员权限。

设置

设置命名空间和服务帐户以作为本示例的行为。 我们将使用此服务帐户来模拟非管理员用户。

kubectl create namespace psp-example
kubectl create serviceaccount -n psp-example fake-user
kubectl create rolebinding -n psp-example fake-editor --clusterrole=edit --serviceaccount=psp-example:fake-user

为了明确我们所扮演的用户并保存一些输入,创建 2 个别名:

alias kubectl-admin='kubectl -n psp-example'
alias kubectl-user='kubectl --as=system:serviceaccount:psp-example:fake-user -n psp-example'

创建策略和 pod

在文件中定义示例 PodSecurityPolicy 对象。 这是一项阻止创建特权 pod 的策略。 PodSecurityPolicy 对象的名称必须是有效的 DNS 子域名。

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: example
spec:
  privileged: false  # Don't allow privileged pods!
  # The rest fills in some required fields.
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  runAsUser:
    rule: RunAsAny
  fsGroup:
    rule: RunAsAny
  volumes:
  - '*'

并使用 kubectl 创建它:

kubectl-admin create -f example-psp.yaml

现在,作为非特权用户,尝试创建一个简单的 pod:

kubectl-user create -f- <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: pause
spec:
  containers:
    - name: pause
      image: k8s.gcr.io/pause
EOF

输出类似于:

Error from server (Forbidden): error when creating "STDIN": pods "pause" is forbidden: unable to validate against any pod security policy: []

尽管创建了 PodSecurityPolicy,但 pod 的服务帐户和 ​fake-user​ 都无权使用新策略:

kubectl-user auth can-i use podsecuritypolicy/example
no

创建角色绑定以授予 ​fake-user​ 示例策略上的 ​use ​verb:

Note: 这不是推荐的方式!

kubectl-admin create role psp:unprivileged \
    --verb=use \
    --resource=podsecuritypolicy \
    --resource-name=example
role "psp:unprivileged" created

kubectl-admin create rolebinding fake-user:psp:unprivileged \
    --role=psp:unprivileged \
    --serviceaccount=psp-example:fake-user
rolebinding "fake-user:psp:unprivileged" created

kubectl-user auth can-i use podsecuritypolicy/example
yes

现在重试创建 pod:

kubectl-user create -f- <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: pause
spec:
  containers:
    - name: pause
      image: k8s.gcr.io/pause
EOF

输出类似于此

pod "pause" created

它按预期工作! 但仍应拒绝任何创建特权 pod 的尝试:

kubectl-user create -f- <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: privileged
spec:
  containers:
    - name: pause
      image: k8s.gcr.io/pause
      securityContext:
        privileged: true
EOF

输出类似于:

Error from server (Forbidden): error when creating "STDIN": pods "privileged" is forbidden: unable to validate against any pod security policy: [spec.containers[0].securityContext.privileged: Invalid value: true: Privileged containers are not allowed]

在继续之前删除 pod:

kubectl-user delete pod pause

运行另一个 pod

让我们再试一次,稍有不同:

kubectl-user create deployment pause --image=k8s.gcr.io/pause

deployment "pause" created

kubectl-user get pods

No resources found.

kubectl-user get events | head -n 2

LASTSEEN   FIRSTSEEN   COUNT     NAME              KIND         SUBOBJECT                TYPE      REASON                  SOURCE                                  MESSAGE
1m         2m          15        pause-7774d79b5   ReplicaSet                            Warning   FailedCreate            replicaset-controller                   Error creating: pods "pause-7774d79b5-" is forbidden: no providers available to validate pod request

我们已经为我们的 ​fake-user​ 绑定了 ​psp:unprivileged ​角色,为什么我们会收到错误 ​Error created: pods "pause-7774d79b5-" is disabled: no providers available to validate pod request​? 答案在于源——​replicaset-controller​。 Fake-user 成功创建了部署(成功创建了一个副本集),但是当副本集去创建 pod 时,它没有被授权使用示例 podsecuritypolicy。

为了解决这个问题,请将 ​psp:unprivileged​ 角色绑定到 pod 的服务帐户。 在这种情况下(因为我们没有指定它)服务帐户是默认的:

kubectl-admin create rolebinding default:psp:unprivileged \
    --role=psp:unprivileged \
    --serviceaccount=psp-example:default
rolebinding "default:psp:unprivileged" created

现在,如果你给它一分钟重试,replicas-controller 最终应该会成功创建 pod:

kubectl-user get pods --watch

NAME                    READY     STATUS    RESTARTS   AGE
pause-7774d79b5-qrgcb   0/1       Pending   0         1s
pause-7774d79b5-qrgcb   0/1       Pending   0         1s
pause-7774d79b5-qrgcb   0/1       ContainerCreating   0         1s
pause-7774d79b5-qrgcb   1/1       Running   0         2s

清理

删除命名空间以清理大部分示例资源:

kubectl-admin delete ns psp-example

namespace "psp-example" deleted

请注意,​PodSecurityPolicy ​资源没有命名空间,必须单独清理:

kubectl-admin delete psp example

podsecuritypolicy "example" deleted

示例策略

这是您可以创建的限制最少的策略,相当于不使用 pod 安全策略准入控制器:

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: privileged
  annotations:
    seccomp.security.alpha.kubernetes.io/allowedProfileNames: '*'
spec:
  privileged: true
  allowPrivilegeEscalation: true
  allowedCapabilities:
  - '*'
  volumes:
  - '*'
  hostNetwork: true
  hostPorts:
  - min: 0
    max: 65535
  hostIPC: true
  hostPID: true
  runAsUser:
    rule: 'RunAsAny'
  seLinux:
    rule: 'RunAsAny'
  supplementalGroups:
    rule: 'RunAsAny'
  fsGroup:
    rule: 'RunAsAny'

这是一个限制性策略的示例,它要求用户以非特权用户身份运行,阻止可能升级到 root,并需要使用多种安全机制。

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restricted
  annotations:
    # docker/default identifies a profile for seccomp, but it is not particularly tied to the Docker runtime
    seccomp.security.alpha.kubernetes.io/allowedProfileNames: 'docker/default,runtime/default'
    apparmor.security.beta.kubernetes.io/allowedProfileNames: 'runtime/default'
    apparmor.security.beta.kubernetes.io/defaultProfileName:  'runtime/default'
spec:
  privileged: false
  # Required to prevent escalations to root.
  allowPrivilegeEscalation: false
  requiredDropCapabilities:
    - ALL
  # Allow core volume types.
  volumes:
    - 'configMap'
    - 'emptyDir'
    - 'projected'
    - 'secret'
    - 'downwardAPI'
    # Assume that ephemeral CSI drivers & persistentVolumes set up by the cluster admin are safe to use.
    - 'csi'
    - 'persistentVolumeClaim'
    - 'ephemeral'
  hostNetwork: false
  hostIPC: false
  hostPID: false
  runAsUser:
    # Require the container to run without root privileges.
    rule: 'MustRunAsNonRoot'
  seLinux:
    # This policy assumes the nodes are using AppArmor rather than SELinux.
    rule: 'RunAsAny'
  supplementalGroups:
    rule: 'MustRunAs'
    ranges:
      # Forbid adding the root group.
      - min: 1
        max: 65535
  fsGroup:
    rule: 'MustRunAs'
    ranges:
      # Forbid adding the root group.
      - min: 1
        max: 65535
  readOnlyRootFilesystem: false

策略参考

特权

Privileged - 确定 pod 中的任何容器是否可以启用特权模式。 默认情况下,不允许容器访问主机上的任何设备,但“特权”容器可以访问主机上的所有设备。 这允许容器几乎与主机上运行的进程具有相同的访问权限。 这对于想要使用 linux 功能(例如操作网络堆栈和访问设备)的容器很有用。

主机命名空间

  • HostPID​ - 控制 pod 容器是否可以共享主机进程 ID 命名空间。 请注意,当与 ptrace 配对时,这可用于提升容器外部的权限(默认情况下禁止使用 ptrace)。
  • HostIPC ​- 控制 pod 容器是否可以共享主机 IPC 命名空间。
  • HostNetwork ​- 控制 pod 是否可以使用节点网络命名空间。 这样做可以让 pod 访问环回设备、侦听 localhost 的服务,并可用于窥探同一节点上其他 pod 的网络活动。
  • HostPorts ​- 提供主机网络命名空间中允许的端口范围列表。 定义为 ​HostPortRange ​的列表,具有 ​min​(inclusive) 和 ​max​(inclusive)。 默认为不允许的主机端口。

卷和文件系统

卷 - 提供允许的卷类型列表。 允许的值对应于创建卷时定义的卷源。 此外,​*​ 可用于允许所有卷类型。

新 PSPs 的建议最小允许卷集是:

  • configMap
  • downwardAPI
  • emptyDir
  • persistentVolumeClaim
  • secret
  • projected

Warning: PodSecurityPolicy 不限制 ​PersistentVolumeClaim ​可以引用的 ​PersistentVolume ​对象的类型,hostPath 类型的 ​PersistentVolume ​不支持只读访问模式。 只有受信任的用户才应被授予创建 ​PersistentVolume ​对象的权限。

FSGroup - 控制应用于某些卷的补充组。

  • MustRunAs ​- 至少需要指定一个范围。 使用第一个范围的最小值作为默认值。 针对所有范围进行验证。
  • MayRunAs ​- 至少需要指定一个范围。 允许不设置 ​FSGroups ​而不提供默认值。 如果设置了 ​FSGroups​,则针对所有范围进行验证。
  • RunAsAny ​- 未提供默认值。 允许指定任何 ​fsGroup ​ID。

AllowedHostPaths - 这指定允许由 hostPath 卷使用的主机路径列表。 空列表意味着对使用的主机路径没有限制。 这被定义为具有单个 ​pathPrefix ​字段的对象列表,它允许 hostPath 卷安装以允许的前缀开头的路径,并且 ​readOnly ​字段指示它必须以只读方式安装。 例如:

  allowedHostPaths:
    # This allows "/foo", "/foo/", "/foo/bar" etc., but
    # disallows "/fool", "/etc/foo" etc.
    # "/foo/../" is never valid.
    - pathPrefix: "/foo"
      readOnly: true # only allow read-only mounts
Warning:
对主机文件系统具有无限制访问权限的容器可以通过多种方式提升权限,包括从其他容器读取数据,以及滥用系统服务(如 Kubelet)的凭据。
可写的 hostPath 目录卷允许容器以允许它们在 ​pathPrefix ​之外遍历主机文件系统的方式写入文件系统。 ​readOnly: true​,在 Kubernetes 1.11+ 中可用,必须在所有 ​allowedHostPaths ​上使用,以有效限制对指定 ​pathPrefix ​的访问。

ReadOnlyRootFilesystem - 要求容器必须使用只读根文件系统(即无可写层)运行。

弹性卷驱动程序

这指定了允许 flexvolume 使用的 FlexVolume 驱动程序列表。 空列表或 nil 表示对驱动程序没有限制。 请确保 ​volumes ​字段包含 ​flexVolume ​卷类型; 否则不允许使用任何 FlexVolume 驱动程序。

例如:

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: allow-flex-volumes
spec:
  # ... other spec fields
  volumes:
    - flexVolume
  allowedFlexVolumes:
    - driver: example/lvm
    - driver: example/cifs

用户和组

RunAsUser - 控制容器运行时使用的用户 ID。

  • MustRunAs ​- 至少需要指定一个范围。 使用第一个范围的最小值作为默认值。 针对所有范围进行验证。
  • MustRunAsNonRoot ​- 要求使用非零 ​runAsUser ​提交 pod 或在映像中定义 USER 指令(使用数字 UID)。 既没有指定 ​runAsNonRoot ​也没有指定 ​runAsUser ​设置的 Pod 将被更改为设置 ​runAsNonRoot=true​,因此需要在容器中定义一个非零数字 USER 指令。 没有提供默认值。 强烈建议使用此策略设置 ​allowPrivilegeEscalation=false​。
  • RunAsAny ​- 未提供默认值。 允许指定任何 ​runAsUser​。

RunAsGroup - 控制容器运行的主要组 ID。

  • MustRunAs ​- 至少需要指定一个范围。 使用第一个范围的最小值作为默认值。 针对所有范围进行验证。
  • MayRunAs ​- 不需要指定 RunAsGroup。 但是,当指定 RunAsGroup 时,它们必须落在定义的范围内。
  • RunAsAny ​- 未提供默认值。 允许指定任何 ​runAsGroup

SupplementalGroups - 控制容器添加的组 ID。

  • MustRunAs ​- 至少需要指定一个范围。 使用第一个范围的最小值作为默认值。 针对所有范围进行验证。
  • MayRunAs ​- 至少需要指定一个范围。 允许在不提供默认值的情况下不设置​supplementalGroups​。 如果设置了补充组,则验证所有范围。
  • RunAsAny ​- 未提供默认值。 允许指定任何补充组。

权限提升

这些选项控制 ​allowPrivilegeEscalation ​容器选项。 此布尔值直接控制是否在容器进程上设置 ​no_new_privs ​标志。 此标志将阻止 ​setuid ​二进制文件更改有效用户 ID,并阻止文件启用额外功能(例如,它将阻止使用 ​ping ​工具)。 此行为是有效实施 ​MustRunAsNonRoot ​所必需的。

AllowPrivilegeEscalation - 决定是否允许用户将容器的安全上下文设置为 ​allowPrivilegeEscalation=true​。 这默认为允许,以免破坏 setuid 二进制文件。 将其设置为 ​false ​可确保容器的任何子进程都无法获得比其父进程更多的权限。

DefaultAllowPrivilegeEscalation - 设置 ​allowPrivilegeEscalation ​选项的默认值。 没有这个的默认行为是允许权限升级,以免破坏 setuid 二进制文件。 如果不需要该行为,则可以使用此字段默认为禁止,同时仍允许 pod 显式请求 ​allowPrivilegeEscalation​。

能力

Linux 功能提供了对传统上与超级用户相关的权限的更细粒度的细分。 其中一些功能可用于提升权限或用于容器突破,并且可能受 PodSecurityPolicy 限制。

以下字段采用功能列表,指定为 ALL_CAPS 中不带 ​CAP_ ​前缀的功能名称。

  • AllowedCapabilities ​- 提供允许添加到容器的功能列表。 默认功能集是隐式允许的。 空集意味着除了默认集之外不能添加其他功能。 ​*​ 可用于允许所有功能。
  • RequiredDropCapabilities ​- 必须从容器中删除的功能。 这些功能已从默认设置中删除,不得添加。 ​RequiredDropCapabilities ​中列出的功能不得包含在 ​AllowedCapabilities ​或 ​DefaultAddCapabilities ​中。
  • DefaultAddCapabilities ​- 除了运行时默认值之外,默认情况下添加到容器的功能。 

SELinux

  • MustRunAs ​- 需要配置 ​seLinuxOptions​。 使用 ​seLinuxOptions ​作为默认值。 针对 ​seLinuxOptions ​进行验证。
  • RunAsAny ​- 未提供默认值。 允许指定任何 ​seLinuxOptions​。

AllowedProcMountTypes

allowedProcMountTypes ​是允许的 ProcMountTypes 的列表。 Empty 或 nil 表示只能使用 ​DefaultProcMountType​。

DefaultProcMount ​对 /proc 的只读路径和掩码路径使用容器运行时默认值。 大多数容器运行时会屏蔽 /proc 中的某些路径,以避免特殊设备或信息的意外安全暴露。 这表示为字符串 ​Default​。

唯一的其他 ProcMountType 是 ​UnmaskedProcMount​,它绕过了容器运行时的默认屏蔽行为,并确保新创建的 /proc 容器保持不变而无需修改。 这表示为字符串 ​Unmasked​。

AppArmor

通过 PodSecurityPolicy 上的注释进行控制。

Seccomp

从 Kubernetes v1.19 开始,您可以使用 Pod 或容器的 ​securityContext ​中的 ​seccompProfile ​字段来控制 seccomp 配置文件的使用。 在之前的版本中,seccomp 是通过向 Pod 添加注释来控制的。 相同的 PodSecurityPolicies 可以与任一版本一起使用,以强制应用这些字段或注释。

seccomp.security.alpha.kubernetes.io/defaultProfileName - 指定要应用于容器的默认 seccomp 配置文件的注释。 可能的值为:

  • unconfined ​- 如果没有提供替代方案,则不将 Seccomp 应用于容器进程(这是 Kubernetes 中的默认设置)。
  • runtime/default​ - 使用默认容器运行时配置文件。
  • docker/default​ - 使用 Docker 默认的 seccomp 配置文件。 自 Kubernetes 1.11 起已弃用。 请改用runtime/default。
  • localhost/<path>​ - 将配置文件指定为位于 ​<seccomp_root>/<path>​ 的节点上的文件,其中 ​<seccomp_root>​ 是通过 Kubelet 上的 ​--seccomp-profile-root​ 标志定义的。 如果未定义 ​--seccomp-profile-root​ 标志,将使用默认路径,即 ​<root-dir>/seccomp​ 其中 ​<root-dir>​ 由 ​--root-dir​ 标志指定。

Note: ​--seccomp-profile-root​ 标志自 Kubernetes v1.19 起已弃用。 鼓励用户使用默认路径。

seccomp.security.alpha.kubernetes.io/allowedProfileNames​ - 指定 pod seccomp 注释允许哪些值的注释。 指定为允许值的逗号分隔列表。 可能的值是上面列出的值,加上 ​*​ 以允许所有配置文件。 缺少此注释意味着无法更改默认值。

Sysctl

默认情况下,允许所有安全的 sysctl。

  • forbiddenSysctls ​- 不包括特定的 sysctl。 您可以在列表中禁止安全和不安全 sysctl 的组合。 要禁止设置任何 sysctls,请单独使用 ​*​。
  • allowedUnsafeSysctls ​- 允许被默认列表禁止的特定 sysctl,只要这些未在​forbiddenSysctls​中列出。


Kubernetes Pod安全性准入
Kubernetes Windows节点的安全性

推荐文章

推荐教程

最新教程