Kubernetes (K8S) 是一种用于自动化部署、扩展和管理容器化应用程序的开源系统。在使用K8S时,安全性是至关重要的,其中Pod Security Policies (PSP) 是一种用于定义哪些权限可以被容器使用的功能。启用 PSP 准入控制器可以帮助确保集群中的 pod 遵守安全最佳实践。接下来,我将向您介绍如何在Kubernetes集群中启用 PSP 准入控制器。
在启用 PSP 准入控制器之前,我们需要确认以下条件:
1. Kubernetes v1.21及以上版本。
2. 集群中w3eiadmin用户来自 OIDC 或 LDAP 认证,且有访问权限。
3. 已配置 Pod Security Policies。
接下来是具体的步骤和代码示例:
| 步骤 | 操作 |
| ------ | ------ |
| 1 | 创建一个 ClusterRole,该 ClusterRole 将允许 PSP 进行授权检查。 |
| 2 | 将 ClusterRole 绑定到 w3eiadmin 用户。 |
| 3 | 创建一个 ClusterRoleBinding,用于将 ClusterRole 绑定到 w3eiadmin 用户。 |
| 4 | 创建一个 ValidatingWebhookConfiguration 来执行 PSP 的准入控制。 |
| 5 | 更新 kube-apiserver 的启动参数,以引用新的 ValidatingWebhookConfiguration 配置。 |
下面是每个步骤所需的代码示例及其注释:
### 步骤1:创建 ClusterRole
```yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: psp:authenticated
rules:
- apiGroups: ['policy']
resources: ['podsecuritypolicies']
verbs: ['use']
```
该 ClusterRole 允许用户检查 PSP。
### 步骤2:将 ClusterRole 绑定到用户
```yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: psp:authenticated
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: psp:authenticated
subjects:
- kind: User
name: w3eiadmin
apiGroup: rbac.authorization.k8s.io
```
将 ClusterRole 绑定到 w3eiadmin 用户。
### 步骤3:创建 ClusterRoleBinding
```yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: psp:authenticated
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: psp:authenticated
subjects:
- kind: User
name: w3eiadmin
apiGroup: rbac.authorization.k8s.io
```
创建 ClusterRoleBinding 将 ClusterRole 绑定到用户。
### 步骤4:创建 ValidatingWebhookConfiguration
```yaml
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
name: psp-webhook
webhooks:
- name: psp.validating.admission.orc
clientConfig:
service:
name: psp-webhook
namespace: default
path: "/"
caBundle: QWxhZGRpbjpvcGVuIHNlc2FtZQ==
rules:
- apiGroups: [""]
apiVersions: ["v1"]
operations: ["CREATE", "UPDATE"]
resources: ["pods"]
admissionReviewVersions: ["v1"]
sideEffects: None
timeoutSeconds: 5
```
创建 ValidatingWebhookConfiguration 配置执行 PSP 的准入控制。
### 步骤5:更新 kube-apiserver 参数
```
--enable-admission-plugins=...,ValidatingAdmissionWebhook,...
--runtime-config=admissionregistration.k8s.io/v1beta1
```
更新 kube-apiserver 的启动参数,以引用新的 ValidatingWebhookConfiguration 配置。
通过以上步骤,您已成功启用了在Kubernetes集群中启用 PSP 准入控制器。这将有助于确保您的容器遵守安全规则,提高集群的安全性。希望这篇文章能帮助到您!如果有任何疑问,请随时与我联系。
在启用 PSP 准入控制器之前,我们需要确认以下条件:
1. Kubernetes v1.21及以上版本。
2. 集群中w3eiadmin用户来自 OIDC 或 LDAP 认证,且有访问权限。
3. 已配置 Pod Security Policies。
接下来是具体的步骤和代码示例:
| 步骤 | 操作 |
| ------ | ------ |
| 1 | 创建一个 ClusterRole,该 ClusterRole 将允许 PSP 进行授权检查。 |
| 2 | 将 ClusterRole 绑定到 w3eiadmin 用户。 |
| 3 | 创建一个 ClusterRoleBinding,用于将 ClusterRole 绑定到 w3eiadmin 用户。 |
| 4 | 创建一个 ValidatingWebhookConfiguration 来执行 PSP 的准入控制。 |
| 5 | 更新 kube-apiserver 的启动参数,以引用新的 ValidatingWebhookConfiguration 配置。 |
下面是每个步骤所需的代码示例及其注释:
### 步骤1:创建 ClusterRole
```yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: psp:authenticated
rules:
- apiGroups: ['policy']
resources: ['podsecuritypolicies']
verbs: ['use']
```
该 ClusterRole 允许用户检查 PSP。
### 步骤2:将 ClusterRole 绑定到用户
```yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: psp:authenticated
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: psp:authenticated
subjects:
- kind: User
name: w3eiadmin
apiGroup: rbac.authorization.k8s.io
```
将 ClusterRole 绑定到 w3eiadmin 用户。
### 步骤3:创建 ClusterRoleBinding
```yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: psp:authenticated
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: psp:authenticated
subjects:
- kind: User
name: w3eiadmin
apiGroup: rbac.authorization.k8s.io
```
创建 ClusterRoleBinding 将 ClusterRole 绑定到用户。
### 步骤4:创建 ValidatingWebhookConfiguration
```yaml
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
name: psp-webhook
webhooks:
- name: psp.validating.admission.orc
clientConfig:
service:
name: psp-webhook
namespace: default
path: "/"
caBundle: QWxhZGRpbjpvcGVuIHNlc2FtZQ==
rules:
- apiGroups: [""]
apiVersions: ["v1"]
operations: ["CREATE", "UPDATE"]
resources: ["pods"]
admissionReviewVersions: ["v1"]
sideEffects: None
timeoutSeconds: 5
```
创建 ValidatingWebhookConfiguration 配置执行 PSP 的准入控制。
### 步骤5:更新 kube-apiserver 参数
```
--enable-admission-plugins=...,ValidatingAdmissionWebhook,...
--runtime-config=admissionregistration.k8s.io/v1beta1
```
更新 kube-apiserver 的启动参数,以引用新的 ValidatingWebhookConfiguration 配置。
通过以上步骤,您已成功启用了在Kubernetes集群中启用 PSP 准入控制器。这将有助于确保您的容器遵守安全规则,提高集群的安全性。希望这篇文章能帮助到您!如果有任何疑问,请随时与我联系。
