前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Kubernetes 将弃用 PSP

Kubernetes 将弃用 PSP

作者头像
崔秀龙
发布2021-01-28 23:03:25
1.5K0
发布2021-01-28 23:03:25
举报
文章被收录于专栏:伪架构师

太长不看版:

Merged:deprecate PSP in 1.21, but leave removal at 1.25 #97171

Pod Security Policy 是 Kubernetes 的重要安全措施之一,它首先定义角色,其中规定了对 Pod 行为的限制,其中包括对特权容器、主机网络、Capability、加载卷类型等内容进行了限制,然后通过 RBAC 把 SA-Pod-PSP 三者结合起来,完成对 Pod 权限的限制。相对于 SecurytContext 来说,PSP 更具强制性和可管理性,CIS Kubernetes Benchmark(v1.6)中明确地把启用 PSP 设置为记分项目,很多 Kubernetes 安全相关软件也会据此进行检查。

然而 PSP 是无法缺省启用的,还有一些其它缺陷,因此在 #97171 中,Kubernetes 1.21 把 PSP 加入了淘汰队列,并在 1.25 中移除。

讨论中可以看到,几个备选方案包括:

  • 升级 PSP
  • 第三方策略引擎
  • 缺省启用宽松策略

目前可用的唯一方案就是启用策略引擎,因此 OPA/Gatekeeper 或 Kyverno 等策略引擎的重要性将进一步提高。遇到扫描报告里的“未启用 PSP”也可以理直气壮了。

参考链接

  • #97171https://github.com/kubernetes/kubernetes/pull/97171
  • PodSecurityPolicy,Present and Future:https://docs.google.com/presentation/d/1Kv6BSBNyLCyglMbK7e6tVOaDYe89LV2aHL2Hlb-9HX8/edit#slide=id.p
  • Pod Security Policy:https://kubernetes.io/docs/concepts/policy/pod-security-policy/
  • Security Context:https://kubernetes.io/docs/tasks/configure-pod-container/security-context/
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-01-20,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 伪架构师 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 参考链接
相关产品与服务
容器服务
腾讯云容器服务(Tencent Kubernetes Engine, TKE)基于原生 kubernetes 提供以容器为核心的、高度可扩展的高性能容器管理服务,覆盖 Serverless、边缘计算、分布式云等多种业务部署场景,业内首创单个集群兼容多种计算节点的容器资源管理模式。同时产品作为云原生 Finops 领先布道者,主导开源项目Crane,全面助力客户实现资源优化、成本控制。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档