Kubernetes Pod安全政策
Pod安全策略控制是作为可选(但建议)的接纳控制器实现的。PodSecurityPolicies是通过启用接纳控制器来实现的,但如果不授权任何策略,则会阻止在集群中创建任何pods。 由于pod安全策略API ( policy /v1beta 1/podsecuritypolicy)是独立于接纳控制器而启用的,因此对于现有集群,建议在启用接纳控制器之前添加和授权策略。
问题:
我需要创建一个集群,然后定义一个pod安全策略,以限制帐户/凭据以受限的方式运行荚。
这是否适用于该特定帐户或集群中的所有豆荚?我宁愿保持默认的管理帐户不受限制,而只允许为该特定用户帐户运行pods的修复uid/gid。
我只是怀疑,如果我只将荚限制在runAs上,那么它可能会破坏集群中的东西吗?
如何对所有命名空间(现有和新的)中的所有用户/服务帐户(除群集管理之外)应用pod安全策略
回答 1
Stack Overflow用户
发布于 2019-07-17 21:19:39
在这一职位之后:
https://medium.com/coryodaniel/kubernetes-assigning-pod-security-policies-with-rbac-2ad2e847c754
原来我可以创建两个PSP:
- 特权
- 受限制
默认情况下,Admin可以访问它们,但它们是按字母顺序分配的,因此我可以将它们命名为:
01-特权
和
100-限制
因此,对于行政当局来说,最有效的一个就是第一个。
对于普通用户,我将通过clusterRole和Rolebinding为所有经过身份验证的用户分配受限用户。
但是事实证明,将PSP应用于用户帐户可以创建简单的pod,但是如果他们试图创建复制集作为部署的一部分,它将无法工作,我们还需要将策略分配给pod服务帐户。
https://stackoverflow.com/questions/57082017
复制相似问题
腾讯云开发者
