Pod 安全准入
Kubernetes v1.25 [稳定]Kubernetes Pod 安全标准 为 Pod 定义了不同的隔离级别。 这些标准允许您以清晰、一致的方式定义如何限制 Pod 的行为。
Kubernetes 提供了一个内置的 Pod 安全 准入控制器 来强制执行 Pod 安全标准。 当创建 Pod 时,Pod 安全限制会在 命名空间 级别应用。
内置 Pod 安全准入强制执行
此页面是 Kubernetes v1.30 文档的一部分。 如果您运行的是其他版本的 Kubernetes,请参阅该版本的文档。
Pod 安全级别
Pod 安全准入根据 Pod 安全标准 定义的三个级别对 Pod 的 安全上下文 和其他相关字段提出了要求:privileged、baseline 和 restricted。 有关这些要求的深入了解,请参阅 Pod 安全标准 页面。
命名空间的 Pod 安全准入标签
启用该功能或安装 webhook 后,您可以配置命名空间以定义要在每个命名空间中用于 Pod 安全的准入控制模式。 Kubernetes 定义了一组 标签,您可以设置这些标签来定义要为命名空间使用的预定义 Pod 安全标准级别。 您选择的标签定义了如果检测到潜在违规,控制平面 将采取的操作
| 模式 | 描述 |
|---|---|
| enforce | 策略违规将导致 Pod 被拒绝。 |
| audit | 策略违规将触发向 审计日志 中记录的事件添加审计注释,但其他情况下是允许的。 |
| warn | 策略违规将触发面向用户的警告,但其他情况下是允许的。 |
命名空间可以配置任何或所有模式,甚至可以为不同的模式设置不同的级别。
对于每种模式,有两个标签决定使用的策略
# The per-mode level label indicates which policy level to apply for the mode.
#
# MODE must be one of `enforce`, `audit`, or `warn`.
# LEVEL must be one of `privileged`, `baseline`, or `restricted`.
pod-security.kubernetes.io/<MODE>: <LEVEL>
# Optional: per-mode version label that can be used to pin the policy to the
# version that shipped with a given Kubernetes minor version (for example v1.30).
#
# MODE must be one of `enforce`, `audit`, or `warn`.
# VERSION must be a valid Kubernetes minor version, or `latest`.
pod-security.kubernetes.io/<MODE>-version: <VERSION>
查看 使用命名空间标签强制执行 Pod 安全标准 以查看示例用法。
工作负载资源和 Pod 模板
Pod 通常是通过创建 工作负载对象(例如 Deployment 或 Job)间接创建的。 工作负载对象定义了一个 Pod 模板,并且工作负载资源的 控制器 会根据该模板创建 Pod。 为了帮助尽早发现违规行为,审计和警告模式都应用于工作负载资源。 但是,强制模式不应用于工作负载资源,仅应用于生成的 Pod 对象。
豁免
您可以定义 Pod 安全强制执行的豁免,以便允许创建由于与给定命名空间关联的策略而被禁止的 Pod。 可以在 准入控制器配置 中静态配置豁免。
豁免必须明确列举。 满足豁免条件的请求将被准入控制器忽略(所有 enforce、audit 和 warn 行为都将被跳过)。 豁免维度包括
- 用户名:来自具有豁免身份验证(或模拟)用户名的用户的请求将被忽略。
- RuntimeClassNames:指定豁免运行时类名称的 Pod 和 工作负载资源 将被忽略。
- 命名空间:豁免命名空间中的 Pod 和 工作负载资源 将被忽略。
注意
大多数 Pod 是由控制器响应 工作负载资源 而创建的,这意味着豁免最终用户只会让他们在直接创建 Pod 时免于强制执行,但在创建工作负载资源时则不会。 控制器服务帐户(例如system:serviceaccount:kube-system:replicaset-controller)通常不应被豁免,因为这样做会隐式豁免任何可以创建相应工作负载资源的用户。对以下 Pod 字段的更新免于策略检查,这意味着如果 Pod 更新请求仅更改这些字段,则即使 Pod 违反了当前策略级别,也不会被拒绝
- 任何元数据更新,但对 seccomp 或 AppArmor 注释的更改除外
seccomp.security.alpha.kubernetes.io/pod(已弃用)container.seccomp.security.alpha.kubernetes.io/*(已弃用)container.apparmor.security.beta.kubernetes.io/*(已弃用)
- 对
.spec.activeDeadlineSeconds的有效更新 - 对
.spec.tolerations的有效更新
指标
以下是 kube-apiserver 公开的 Prometheus 指标
pod_security_errors_total:此指标指示阻止正常评估的错误数量。 非致命错误可能会导致使用最新的受限配置文件进行强制执行。pod_security_evaluations_total:此指标指示已发生的策略评估次数,不包括导出期间忽略或豁免的请求。pod_security_exemptions_total:此指标指示豁免请求的数量,不包括忽略或超出范围的请求。
下一步
如果您运行的是旧版本的 Kubernetes,并且想要升级到不包含 PodSecurityPolicies 的 Kubernetes 版本,请阅读 从 PodSecurityPolicy 迁移到内置 PodSecurity 准入控制器。