江苏龙网

  1. 首页 > 人文 > >

产业气象站@实例演示:如何简化生产中的Pod安全策略?

在实操教程丨使用Pod安全策略强化K8S安全中 , 我们演示了如何使用受限的PSP策略作为默认值在Rancher中启用PSP 。 我们还展示了如何防止特权Pod被接纳到集群中 。
产业气象站@实例演示:如何简化生产中的Pod安全策略?
文章图片
我们有意省略了有关基于角色的访问控制(RBAC)以及如何将Pod与特定PSP连接的具体细节 。 那么 , 这篇文章让我们继续深入研究PSP 。
将Pod与Pod安全策略匹配
你可能已经注意到 , PSP模式没有与任何Kubernetes命名空间、ServiceAccount或Pod相关联 。 实际上 , PSP是集群范围的资源 。 那么 , 我们如何指定哪些Pod应该由哪些PSP来管理呢?下图显示了所有参与组件、资源以及准入流程的工作方式 。
产业气象站@实例演示:如何简化生产中的Pod安全策略?
文章图片
也许一开始听起来很复杂 。 现在 , 我们来详细介绍一下 。
部署Pod时 , 准入控制将根据请求deployment的对象来应用策略 。
Pod本身没有任何关联的策略——执行该Deployment的是serviceaccount 。 在上图中 , Jorge使用webapp-saserviceaccount部署了pod 。
RoleBinding将serviceaccount与Roles(或ClusterRoles)相关联 , Role是指定可以使用PSP的资源 。 在该图中 , webapp-sa与webapp-role关联 , 后者为特定的PSP资源提供使用许可 。 部署Pod时 , 将根据webapp-saPSP对Pod进行检查 。 实际上 , 一个serviceaccount可以使用多个PSP , 并且其中一个可以验证Pod就足够了 。 你可以在官方文档中查看详细信息:
https://kubernetes.io/docs/concepts/policy/pod-security-policy/#policy-order
然后 , 准入控制将决定Pod是否符合其中任何一个PSP 。 如果Pod符合要求 , 准入控制将调度Pod;如果Pod不符合规定 , 则会阻止部署 。
以上内容可以总结为以下几点:
Pod身份由其serviceaccount确定如果规范中未声明任何serviceaccount , 则将使用默认账户你需要允许使用声明Role或ClusterRole最后 , 需要有一个RoleBinding , 它将Role(从而允许访问使用PSP)与Pod规范中声明的ServcieAccount相关联 。让我们用一些例子来说明 。
产业气象站@实例演示:如何简化生产中的Pod安全策略?
文章图片
RBAC的真实示例
假设你已经有一个启用了PSP的集群 , 这是采用PSP创建限制性PSP的常用方法 , 该PSP可以被任意Pod使用 。 然后你将添加更为特定的PSP , 该PSP有绑定到特定serviceaccount的其他特权 。 拥有默认、安全且严格的策略有助于集群的管理 , 因为大多数Pod不需要特殊的特权或功能 , 并且在默认情况下即可运行 。 然后 , 如果你的某些工作负载需要其他特权 , 我们可以创建一个自定义PSP并将该工作负载的特定serviceaccount绑定到限制较少的PSP 。
但是 , 如何将Pod绑定到特定的PSP而不是默认的受限PSP?以及如何使用不自动添加RoleBindings的普通Kubernetes集群来做到这一点?
【产业气象站@实例演示:如何简化生产中的Pod安全策略?】让我们看一个完整的示例 , 在该示例中 , 我们定义一些安全的默认值(集群中任何serviceaccount都可以使用的受限PSP) , 然后为需要该服务的特定deployment向单个serviceaccount提供其他特权 。
首先 , 我们手动创建一个新的命名空间 。 它不会由Rancher管理 , 所以不会自动创建RoleBindings 。 然后我们在该命名空间中尝试部署一个受限的Pod:
由于命名空间psp-test中没有RoleBinding , 且该命名空间绑定到允许使用任何PSP的角色 , 因此无法创建pod 。 我们将通过创建集群范围的ClusterRole和ClusterRoleBinding来解决此问题 , 以允许任何ServiceAccount默认使用受限的PSP 。 之前的文章中启用PSP时 , Rancher创建了受限PSP 。


推荐阅读


上一篇:『波波军旅』麒麟820+大容量电池,价格感人,还等荣耀30,荣耀30S正式发布

下一篇:『初心沫染』惊爆!强势要求关闭亚马逊仓库!