簡述Kubernetes PodSecurityPolicy機制
Kubernetes PodSecurityPolicy是為了更精細地控制Pod對資源的使用方式以及提升安全策略。
在開啟PodSecurityPolicy准入控制器後,Kubernetes預設不允許建立任何Pod,需要建立PodSecurityPolicy策略和相應的RBAC授權策略(Authorizing Policies),Pod才能建立成功;
簡述Kubernetes PodSecurityPolicy機制能實現哪些安全策略
1)特權模式:privileged是否允許Pod以特權模式執行;
2)宿主機資源:控制Pod對宿主機資源的控制,如hostPID:是否允許Pod共享宿主機的程序空間;
3)使用者和組:設定執行容器的使用者ID(範圍)或組(範圍);
4)提升許可權:AllowPrivilegeEscalation:設定容器內的子程序是否可以提升許可權,通常在設定非root使用者(MustRunAsNonRoot)時進行設定;
5)SELinux:進行SELinux的相關配置;