深入理解容器组安全策略
参考官方 Kubernetes 文档:容器组安全策略
容器组安全策略 可以限制容器组中的容器使用哪些特权或功能,以及规定容器组中的容器如何运行。平台基于 容器组安全准入(PSA) 实现了更加细粒度的容器组安全策略。它定义了三种安全模式和安全标准:
-
安全模式:Kubernetes 中的安全模式是一种控制安全策略的机制,用于定义 Kubernetes 如何处理违反安全策略的容器组。更多细节请参考官方文档。安全模式可以分为以下三种:
-
强制模式:当容器组违反安全策略时,Kubernetes 将拒绝该容器组的创建或修改,并返回错误信息。适合对安全要求较高的生产环境使用。
-
审计模式:当容器组违反安全策略时,Kubernetes 将记录该事件,并将记录存储在审计日志中。这种模式通常用于了解集群中的安全事件,以便进行后续调查和分析。
-
警告模式:当容器组违反安全策略时,Kubernetes 将允许该容器组的创建或修改,并返回警告信息。这种模式通常用于测试或过渡期,以便管理员可以逐步调整安全策略,而不会对应用程序造成影响。
-
-
安全标准:容器组安全标准定义了三种不同的策略,以广泛覆盖安全应用场景。更多细节请参考官方文档。
-
特权标准:容器组中的容器拥有特权访问,允许所有操作,没有任何限制。
-
基础标准:限制容器组中的容器使用宿主机的命名空间、网络、文件系统、进程等。这是默认的安全标准,通常适用于大多数场景。
-
受限标准:进一步限制容器组中的容器使用宿主机的资源,包括限制容器使用文件系统、网络等。这是一种高度安全的标准,适用于对安全性要求非常高的场景。这些安全标准可以通过 Kubernetes 中的 Admission Controller 对容器组进行验证,以确保容器组中的容器不会破坏 Kubernetes 集群的安全性。
-