系列目录 什么是pod安全策略 pod安全策略是集群级别的用于控制pod安全相关选项的一种资源.PodSecurityPolicy定义了一系列pod相要进行在系统中必须满足的约束条件,以衣一些默认的约束值.它允许管理员控制以下方面内容 Control Aspect Field Names 以特权运行容器 privileged 使用宿主名称空间 hostPID, hostIPC 使用宿主网络和端口 hostNetwork, hostPorts 使用存储卷类型 volumes 使用宿主机文件系统 a…

来源:伪架构师作者:崔秀龙很多人分不清 SecurityContext 和 PodSecurityPolicy 这两个关键字的差别,其实很简单:•SecurityContext 是 Pod 中的一个字段,而 PSP 是一个独立的资源类型.•SecurityContext 是 Pod 自身对安全上下文的声明:而 PSP 则是强制实施的--不合规矩的 Pod 无法创建.PSP 的用法和 RBAC 是紧密相关的,换句话说,应用 PSP 的基础要求是:•不同运维人员的操作账号需要互相隔离并进行单独授权.…

本文来自Rancher Labs 什么是Pod安全策略? Kubernetes Pod安全策略(PSP)是Kubernetes安全版块中极为重要的组件.Pod安全策略是集群级别的资源,用于控制Pod安全相关选项,并且还是一种强化Kubernetes工作负载安全性的机制.Kubernetes平台团队或集群运维人员可以利用它来控制pod的创建以及限制特定的用户.组或应用程序可以使用的功能. 举个简单的例子,使用PSP你可以: 防止特权Pod启动并控制特权升级. 限制Pod可以访问的主机命名空间.网络…

默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响. PodSecurityPolicy 是 Kubernetes API 对象,你可以在不对 Kubernetes 进行任何修改的情况下创建它们,但是,默认情况下不会强制执行我们创建的一些策略,我们需要一个准入控制器.kube-controller-manager 配置以及 RBAC 权限…

多租户集群由多个用户和/或工作负载共享,这些用户和/或工作负载被称为"租户".多租户集群的运营方必须将租户彼此隔离,以最大限度地减少被盗用的租户或恶意租户可能对集群和其他租户造成的损害.此外,必须在租户之间公平地分配集群资源. 在规划多租户架构时,您应该考虑 Kubernetes 中的资源隔离层:集群.命名空间.节点.Pod 和容器.您还应该考虑在租户之间共享不同类型资源的安全隐患.例如,将来自不同租户的 Pod 调度到同一节点上可以减少集群中所需的机器数量.另一方面,您可能需要阻止某…

Pod安全策略对于强化K8S集群安全至关重要.本文将延续之前的文章继续深入介绍Pod安全策略. 首先,简单介绍了如何将Pod与Pod安全策略相关联,并使用RBAC来展示具体步骤.然后介绍如何在Rancher中启用默认的PSP和创建自定义PSP.最后将使用一种工具来简化生产中Pod安全策略的使用,极大提升生产力,赶紧戳文咯~ 本文来自RancherLabs 在之前的文章中,我们演示了如何使用受限的PSP策略作为默认值在Rancher中启用PSP.我们还展示了如何防止特权Pod被接纳到集群中. 我们…

导读 Pod容器想要获取集群的资源信息,需要配置角色和ServiceAccount进行授权.为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod的安全策略进行管理. Pod特权模式 容器内的进程获得的特权几乎与容器外的进程相同.使用特权模式,可以更容易地将网络和卷插件编写为独立的pod,不需要编译到kubelet中. PodSecurityPolicy 官网定义 Pod 安全策略(Pod Security Polic…

介绍 pod P53 pod 是 Kubernetes 中最为重要的核心概念,而其他对象仅仅用于 pod 管理. pod 暴露或被 pod 使用. pod 是一组并置的容器,代表了 Kubernetes 中的基本构建模块. P53 当一个 pod 包含多个容器时,这些容器总是运行于同一个工作节点上--一个 pod 绝不会跨越多个工作节点. P54 为何需要 pod P54 为何多个容器比单个容器中包含多个进程要好 P54 假设一个由多个进程组成的应用程序,无论是通过 IPC (进程间通信)还是本…

在 k8s 搞出 pod 概念的时候,其实 docker 官方就已经推出自己的容器编排应用 swarm.这一套服务可以帮助在不同节点上的容器,进行统一的管理,主要针对容器的启停,运维,还有部署,注意我这里没有提到"编排",个人觉得确实在 swarm 中并没有容器编排这一概念(ps:相对于 k8s 的编排,swarm 确实显得有一丢丢稚嫩),其中关于容器中应用的部署流程,运维监控,还有日志收集这些基本都要自己动手实现.在 swarm 中主要有两个角色,一个是 manage,另一个是 wo…

作为 Kubernetes 项目里最核心的编排对象,Pod 携带的信息非常丰富.其中,资源定义(比如 CPU.内存等),以及调度相关的字段.在本篇,我们就先从一种特殊的 Volume 开始,来帮助你更加深入地理解 Pod 对象各个重要字段的含义. 这种特殊的 Volume,叫作 Projected Volume,你可以把它翻译为“投射数据卷”. (备注:Projected Volume 是 Kubernetes v1.11 之后的新特性) 这是什么意思呢? 在 Kubernetes 中,有几种特…