当前位置: 首页 > news >正文

在集群级别应用 Pod 安全标准

news 2025/9/1 5:41:37

🛡️ 在 Kubernetes 集群中统一应用 Pod 安全标准

一、🎯 什么是 Pod 安全标准?

在 Kubernetes 中,Pod 是运行容器的基本单元,默认情况下,Pod 几乎可以做很多“危险”的事情,比如:

  • 以 root 用户运行(runAsUser: 0
  • 挂载主机敏感路径(如 /etc, /var
  • 使用特权模式(privileged: true
  • 启用主机网络/进程/IPC(hostNetwork: true, hostPID: true, hostIPC: true
  • 拥有高危 Linux Capabilities(如 SYS_ADMIN
  • 未配置 Seccomp、AppArmor 等安全模块

这些行为如果被恶意利用,可能会导致:

🚨 容器逃逸、权限提升、主机被入侵等严重安全问题。

二、🧪 创建一个没有安全策略的集群

kind create cluster --name my-cluster
kubectl cluster-info --context kind-my-cluster
kubectl get ns
kind load docker-image nginx:latest --name my-cluster

✅ 集群未启用任何安全策略,所有 Pod(包括特权容器)默认允许运行,用于对比。

三、🧪 模拟不同安全级别

kubectl label --dry-run=server --overwrite ns --all pod-security.kubernetes.io/enforce=privileged
kubectl label --dry-run=server --overwrite ns --all pod-security.kubernetes.io/enforce=baseline
kubectl label --dry-run=server --overwrite ns --all pod-security.kubernetes.io/enforce=restricted

✅ 这些命令仅用于模拟,帮助您理解不同 enforce 策略可能产生的影响,但不会实际生效,因为没有启用 Pod 安全准入控制器。

四、🛠️ 定义 Pod 安全准入策略配置文件

📄 文件名: /tmp/pss/cluster-level-pss-policy.yaml
🔒 ​​用途:​​ 定义 Pod 安全准入控制器的核心策略:enforce / audit / warn / exemptions

mkdir -p /tmp/pss
cat <<EOF > /tmp/pss/cluster-level-pss-policy.yaml
apiVersion: apiserver.config.k8s.io/v1
kind: AdmissionConfiguration
plugins:
- name: PodSecurityconfiguration:apiVersion: pod-security.admission.config.k8s.io/v1kind: PodSecurityConfigurationdefaults:enforce: "baseline"enforce-version: "latest"audit: "restricted"audit-version: "latest"warn: "restricted"warn-version: "latest"exemptions:namespaces: ["kube-system"]  # 不对系统命名空间生效
EOF

✅ 请确保该文件路径为:/tmp/pss/cluster-level-pss-policy.yaml

  • enforce: baseline → 违反则拒绝 Pod
  • auditwarn: 使用 restricted,仅记录/警告
  • exemptions: 保护系统组件

五、🛠️ 拥有安全策略的配置文件(加载上面的策略配置)

📄 文件名: /tmp/pss/kind-cluster-with-pss-config.yaml
🔧 ​​用途:​​ 定义 Kind 集群的 API Server 挂载与启动参数,以加载上一步的策略文件

cat <<EOF > /tmp/pss/kind-cluster-with-pss-config.yaml
kind: Cluster
apiVersion: kind.x-k8s.io/v1alpha4
nodes:
- role: control-planekubeadmConfigPatches:- |kind: ClusterConfigurationapiServer:extraArgs:admission-control-config-file: /etc/config/cluster-level-pss-policy.yamlextraVolumes:- name: pss-confighostPath: /etc/configmountPath: /etc/configreadOnly: truepathType: DirectoryOrCreateextraMounts:- hostPath: /tmp/psscontainerPath: /etc/configreadOnly: true
EOF

✅ 说明:

  • 我们将主机上的 /tmp/pss/cluster-level-pss-policy.yaml 挂载到容器中的 /etc/config/cluster-level-pss-policy.yaml
  • API Server 启动时会读取该文件,从而启用 Pod 安全准入控制并应用您定义的 enforce/audit/warn 策略

六、🚀 创建启用安全策略的新集群

kind create cluster \--name pss-test-cluster \--config /tmp/pss/kind-cluster-with-pss-config.yaml  #上一步的配置文件# 加载本地镜像
kind load docker-image nginx:latest --name pss-test-cluster

✅ 集群名称:pss-test-cluster(请记住此名称,后面所有 kubectl 操作都要用它)

验证集群:

kubectl cluster-info --context kind-pss-test-cluster

七、🧪 测试 Pod 是否按策略被允许 / 拒绝 / 警告

✅ 测试 1:部署符合 Baseline 的普通 Pod

kubectl apply -f - <<EOF
apiVersion: v1
kind: Pod
metadata:name: baseline-podnamespace: default
spec:containers:- name: nginximage: nginx:latestimagePullPolicy: Never
EOF

✅ 预期:Pod 创建成功,但可能收到来自 Restricted 策略的警告(比如应使用非 root)

❌ 测试 2:部署一个 Privileged Pod

kubectl apply -f - <<EOF
apiVersion: v1
kind: Pod
metadata:name: privileged-podnamespace: default
spec:containers:- name: nginximage: nginx:latestimagePullPolicy: NeversecurityContext:privileged: true   # 特权容器
EOF

🔴 预期结果:Pod 被拒绝,报错类似:

Error from server (Forbidden): error when creating "STDIN": pods "privileged-pod" is forbidden: violates PodSecurity "baseline:latest": privileged (container "nginx" must not set securit
yContext.privileged=true)

✅ 这是期望的安全行为!

八、🧹 清理

kind delete cluster --name pss-test-cluster
kind delete cluster --name my-cluster
http://www.xdnf.cn/news/1406845.html

相关文章:

  • opencv 梯度提取
  • 数据化管理是什么意思?企业该如何进行数据化管理
  • 《SVA断言系统学习之路》【01】即时断言概览
  • 北京博乐科技有限公司2025届程序技术类笔试题
  • 性能测试工具-SkyWalking
  • 元宇宙与旅游产业:虚实融合的文旅新体验
  • Python毕业设计推荐:基于Django+MySQL的养老社区服务管理系统
  • 从 WPF 到 Avalonia 的迁移系列实战篇4:控件模板与 TemplatedControl
  • UniApp 基础开发第一步:HBuilderX 安装与环境配置
  • 【AI智能体技术】如何学习多智能体系统知识并实现SOTA算法?
  • SDL3.0 学习随笔:其一
  • 自底向上了解CPU的运算
  • 嵌入式常见架构
  • 【MYSQL】从混乱到清晰:联合查询帮你打通数据孤岛
  • 算法:插入排序
  • 公益免费二级域名
  • 解锁Tensor Core性能:深入探索CUDA Warp矩阵操作
  • Junior Engineer浅谈CAS
  • 【百度】C++开发(25届提前批 一面)面经
  • 时序数据库
  • GitHub 热榜项目 - 日榜(2025-08-31)
  • 使用cursor claude sonnet4的一些感受
  • PY32F002不小心设置了SWD复用的恢复
  • Chrome++插件与GreenChrome:增强Chrome浏览器功能
  • Spring Boot 3.0 应用 HTTP 到 HTTPS 技术改造方案
  • 《潮汐调和分析原理和应用》之四S_Tide使用2
  • Java中不太常见的语法-总结
  • 架构进阶——解读 69页 方法轮IT规划培训 架构-重点-细节【附全文阅读】
  • Shell编程核心入门:参数传递、运算符与流程控制全解析
  • 2025年9月计算机二级C++语言程序设计——选择题打卡Day11