将 PodSecurityPolicies 映射到 Pod 安全标准
下表列出了 PodSecurityPolicy 对象上的配置参数,以及该字段是否会修改和/或验证 Pod,以及配置值如何映射到 Pod 安全标准。
对于每个适用的参数,都会列出 基线 和 受限 配置文件允许的值。任何超出这些配置文件允许值的配置都将属于 特权 配置文件。“无意见”表示所有值在所有 Pod 安全标准下都是允许的。
有关逐步迁移指南,请参阅 从 PodSecurityPolicy 迁移到内置 PodSecurity 准入控制器。
PodSecurityPolicy Spec
此表中列出的字段是 PodSecurityPolicySpec 的一部分,该字段在 .spec 字段路径下指定。
PodSecurityPolicySpec | 类型 | Pod 安全标准等效项 |
|---|---|---|
privileged | 验证 | 基线和受限:false / 未定义 / 为空 |
defaultAddCapabilities | 修改和验证 | 要求与下面的 allowedCapabilities 匹配。 |
allowedCapabilities | 验证 | 基线:子集
受限:空 / 未定义 / 为空或仅包含 |
requiredDropCapabilities | 修改和验证 | 基线:无意见 受限:必须包含 |
volumes | 验证 | 基线:除以下以外的任何内容
受限:子集
|
hostNetwork | 验证 | 基线和受限:false / 未定义 / 为空 |
hostPorts | 验证 | 基线和受限:未定义 / 为空 / 空 |
hostPID | 验证 | 基线和受限:false / 未定义 / 为空 |
hostIPC | 验证 | 基线和受限:false / 未定义 / 为空 |
seLinux | 修改和验证 | 基线和受限:
|
runAsUser | 修改和验证 | 基线:任何值 受限: |
runAsGroup | 修改(MustRunAs)和验证 | 无意见 |
supplementalGroups | 修改和验证 | 无意见 |
fsGroup | 修改和验证 | 无意见 |
readOnlyRootFilesystem | 修改和验证 | 无意见 |
defaultAllowPrivilegeEscalation | 修改 | 无意见(非验证) |
allowPrivilegeEscalation | 修改和验证 | 仅在设置为 基线:无意见 受限: |
allowedHostPaths | 验证 | 无意见(volumes 优先) |
allowedFlexVolumes | 验证 | 无意见(volumes 优先) |
allowedCSIDrivers | 验证 | 无意见(volumes 优先) |
allowedUnsafeSysctls | 验证 | 基线和受限:未定义 / 为空 / 空 |
forbiddenSysctls | 验证 | 无意见 |
allowedProcMountTypes(alpha 功能) | 验证 | 基线和受限:["Default"] 或未定义 / 为空 / 空 |
runtimeClass .defaultRuntimeClassName | 修改 | 无意见 |
runtimeClass .allowedRuntimeClassNames | 验证 | 无意见 |
PodSecurityPolicy 注释
可以在 PodSecurityPolicy 对象上的 .metadata.annotations 下指定此表中列出的 注释。
PSP 注释 | 类型 | Pod 安全标准等效项 |
|---|---|---|
seccomp.security.alpha.kubernetes.io/defaultProfileName | 修改 | 无意见 |
seccomp.security.alpha.kubernetes.io/allowedProfileNames | 验证 | 基线: 受限:
|
apparmor.security.beta.kubernetes.io/defaultProfileName | 修改 | 无意见 |
apparmor.security.beta.kubernetes.io/allowedProfileNames | 验证 | 基线: 受限:
|
上次修改时间:2022 年 5 月 5 日下午 11:10 PST:为 1.25 清理 PSP 文档 (b167938367)