K8s进阶6——pod安全上下文,腾讯T2亲自教你

最新推荐文章于 2025-06-10 09:17:46 发布
最新推荐文章于 2025-06-10 09:17:46 发布
阅读量1.4k 收藏 26
点赞数 9
CC 4.0 BY-SA版权
分类专栏: 2024年程序员学习 文章标签: kubernetes 安全 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60732644/article/details/137399815
本文介绍了Kubernetes中的Pod安全上下文,包括PodSecurityPolicy的使用及其在1.21版本后被弃用的情况。文章提到了替代方案OPA Gatekeeper,详细解释了其工作原理、安装过程以及编写策略的方法。此外,还探讨了gVisor作为容器安全隔离技术的集成和验证,以及与Docker和Containerd的配合使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

概念:

  • PodSecurityPolicy,简称PSP,是K8s中Pod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。
  • 使用PSP对象定义一组Pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被K8s接受。
  • Pod安全策略实现为一个准入控制器,默认没有启用,当启用后会强制实施Pod安全策略,没有满足的Pod将无法创建。因此,建议在启用PSP之前先添加策略并对其授权。

启用Pod安全策略:

  1. kube-apiserver.yaml配置文件添加准入控制器。
  2. 重启kubelet,systemctl restart kubelet
    在这里插入图片描述

玩法思路:

  1. 创建SA服务账号。
  2. 将SA绑定到系统内置Role edit。
  3. 创建使用PSP权限的Role qingjun。
  4. 将SA绑定到角色qingjun上。
  5. 定义PodSecurityPolicy策略。

注意事项:

  1. 使用复杂,权限模型存在缺陷,控制不明确,一旦出现问题不好定位,所以将再1.21版本弃用PSP,在1.25版本删除PSP。 弃用官方文献
  2. 替代方案KEP 2579
  3. 替代外部控制器方案:K-Rail、 Kyverno、 OPA/Gatekeeper 。
2.1.1 安全策略限制维度
配置项 描述
privileged 启动特权容器。
hostPID,hostIPC 使用主机namespaces。
hostNetwork,hostPorts 使用主机网络和端口。
volumes 允许使用的挂载卷类型。
allowedHostPaths 允许hostPath类型挂载卷在主机上挂载的路径,通过pathPrefix字段声明允许挂载的主机路径前缀组。
allowedFlexVolumes 允许使用的指定FlexVolume驱动。
fsGroup 配置Pod中挂载卷使用的辅组ID。
readOnlyRootFilesystem 约束启动Pod使用只读的root文件系统。
runAsUser,runAsGroup,supplementalGroups 指定Pod中容器启动的用户ID以及主组和辅组ID。
allowPrivilegeEscalation,defaultAllowPrivilegeEscalation 约束Pod中是否允许配置allowPrivilegeEscalation=true,该配置会控制setuid的使用,同时控制程序是否可以使用额外的特权系统调用。
defaultAddCapabilities,requiredDropCapabilities,allowedCapabilities 控制Pod中使用的Linux Capabilities。
seLinux 控制Pod使用seLinux配置。
allowedProcMountTypes 控制Pod允许使用的ProcMountTypes。
annotations 配置Pod中容器使用的AppArmor或seccomp。
forbiddenSysctls,allowedUnsafeSysctls 控制Pod中容器使用的sysctl配置。

2.2 OPA Gatekeeper方案

前提了解:

  • OPA(Open Policy Agent):是一个开源的、通用策略引擎,可以将策略编写为代码。提供一个种高级声明性语言-Rego来编写策略,并把决策这一步骤从复杂的业务逻辑中解耦出来。
  • 是PSP的替代方案,属于外部准入控制器。
  • OPA官网
  • Gatekeeper项目地址
  • Gatekeeper文档

OPA可以用来做什么?

  1. 拒绝不符合条件的YAML部署。
  2. 允许使用哪些仓库中的镜像。
  3. 允许在哪个时间段访问系统。
  4. 等等。

OPA Gatekeeper的概念:

  • Gatekeeper 是基于 OPA的一个 Kubernetes 策略解决方案,可替代PSP或者部分RBAC功能。因为OPA与K8s对接偏向于底层,不好使用,所以社区就基于OPA引擎开发了OPA Gatekeeper的解决方案,方便使用。
  • 当在集群中部署了Gatekeeper组件,APIServer所有的创建、更新或者删除操作都会触发Gatekeeper来处理,如果不满足策略则拒绝。

工作流程图:
在这里插入图片描述

2.2.1 安装Gatekeeper

1.下载准备安装yaml文件,下载地址
在这里插入图片描述
2.导入文件一键部署,并查看。

[root@k8s-master1 opa]# kubectl apply -f gatekeeper.yaml

在这里插入图片描述

2.2.2 编写策略

Gatekeeper的策略由两个资源对象组成:

  1. Template模板:在后面我们需要自定义限制策略,策略是怎么实现的就需要我们先写一个实现逻辑,这里就把这个实现逻辑称之为模板,使用rego语言。
  2. Contsraint约束:自定义限制策略,当我们创建任何一个资源时可以先通过这个约束来进行过滤处理,违反约束就代表能限制你创建自动动作,不让你创建这个资源。所以约束就是负责K8s资源对象的过滤或者为Template模板提供输入参数。

实现思路:

  1. 先使用rego语言编写Template模板,在这个模板里自定义实现逻辑,就相当于写一个脚本逻辑。
  2. 自定义Constraint约束,约束格式类似rbac授权那种,要限制什么资源,这个资源在什么组。
  3. 当我们创建一个资源时,比如创建deployment时,若是触发了约束,则就会带入到模板里,看是否能违反约束,若是违反约束就相当于出发了开关,不让你创建deployment。

模板核心字段释义:

  • 字段containers = input.review.object.spec.template.spec.containers
    • input.review.object :抓取约束模板里自定义的限制资源。比如我在约束模板里限制deployment资源,这里就是是抓取的deployment资源。
    • .spec.template.spec.containers:代表获取资源对象的yaml文件里.spec.template.spec.containers内容,可以用kubectl explan获取。比如我在约束模板里限制的是deployment资源,那么当我创建deployment资源时就会抓取deployment.yaml文件里的spec.template.spec.containers下的内容,如下图,就是获取下图中的红框内容。此时拿到这块内容,再根据模板里的逻辑进行判断,看最后是否输出的true,若是则代表违反约束,你就不能创建deployment资源。
      在这里插入图片描述
2.2.3 案例1

需求

最低0.47元/天 解锁文章

200万优质内容无限畅学
二十一、Pod安全策略
爱吃西红柿的博客
02-16 662
为了更精细的控制pod启动或者更新时的安全管理,kubernetes从1.5版本开始引入podSecurityPolicy资源对象对pod安全策略进行管理。podSecurityPolicy是集群范围内的资源对象,不属于命名空间范围。
K8S学习指南(39)-k8s权限管理对象 PodSecurityPolicy
俞兆鹏的博客
12-25 1271
通过本文,我们深入了解了Kubernetes中权限管理对象PodSecurityPolicy的基本概念、创建方式,并通过详细的示例演示了如何手动创建PodSecurityPolicy,并将其与Role和RoleBinding关联,以实现对Pod安全控制。在示例中,我们将演示如何手动创建一个PodSecurityPolicy,并将其与集群中的Role和RoleBinding关联,以实现对Pod安全控制。的PodSecurityPolicy,定义了一系列安全规则,包括不允许特权容器、禁止使用主机网络等。
K8s进阶6——pod安全上下文(1),重难点整理
2401_84138785的博客
04-07 1295
2.创建pod,使用安全上下文指定普通用户id。metadata:labels:spec:selector:template:metadata:labels:spec:3.进入pod容器查看,是以普通用户id为1000的qingjun用户启用程序。4.若构建镜像时没有提前创建普通用户,则在pod.yaml里指定安全上下文创建的容器程序里的普通用户id就是从1000开始。##构建镜像没有提前创建普通用户。##新镜像推送到镜像仓库。
Open Policy Agent Gatekeeper 安装与卸载完全指南
最新发布
gitblog_00939的博客
06-10 292
Open Policy Agent Gatekeeper 安装与卸载完全指南 前言 Open Policy Agent (OPA) Gatekeeper 是 Kubernetes 中实现策略即代码(Policy as Code)的重要工具。本文将详细介绍 Gatekeeper 的安装与卸载过程,帮助您快速在 Kubernetes 集群中部署这一强大的策略执行引擎。 安装前准备 Kubernetes...
非root用户运行容器K8S SecurityContext)
小单的博客专栏
08-04 5478
一、从构建镜像的角度下手 将非root用户添加到Dockerfile # RUN命令执行创建用户和用户组(命令创建了一个用户newuser设定ID为5000,并指定了用户登录后使用的主目录和shell) RUN groupadd --gid 5000 newuser \ && useradd --home-dir /home/newuser --create-home --uid 5000 --gid 5000 --shell /bin/sh --skel /dev/null newus
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 4397
1、pod安全上下文Security Context,特权容器替代方案Linux Capabilities。 2pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor_allowprivilegeescalation和privileged
2401_87198828的博客
09-19 2684
2.测试一,当创建deployment资源时,没有匹配到“securityContext.privileged: true” 字段,说明该容器没有启用特权,可以正常创建,没有违反约束,所以最后可以正常创建deploy。2.再使用runsc创建一个容器,进入查看容器里的内核不再是宿主机的内核版本,而是gvisor自己模拟的内核,容器内所有的命令操作系统调用都是发送给模拟出来的内核,然后有它再转发到实际的宿主机内核。1.先用默认的runc创建一个容器,进去查看容器内核版本,现实的是宿主机的内核版本。
k8s——Pod详解
sea_bunch的博客
05-23 3684
Podkubernetes中,Pod也是最小化运行容器化应用的资源对象。一个Pod代表着集群中运行的一个进程。kubernetes中其他大多数组件都是围绕着Pod来进行支撑和扩展Pod功能的,例如,用于管理Pod运行的StatefulSet和Deployment等控制器对象,用于暴露Pod应用的Service和Ingress对象,为Pod提供存储的PersistentVolume存储资源对象等。。现代容器技术建议一个容器只运行一个进程,该进程在容器中。
k8s——pod控制器
sea_bunch的博客
06-07 1507
服务发现:就是应用服务之间相互定位的过程。动态性强:Pod会飘到别的node节点更新发布频繁:互联网思维小步快跑,先实现再优化,老板永远是先上线再慢慢优化,先把idea变成产品挣到钱然后再慢慢一点一点优化支持自动伸缩:一来大促,肯定是要扩容多个副本K8S里服务发现的方式—DNS,使K8S集群能够自动关联Service资源的“名称”和“CLUSTER-IP”,从而达到服务被集群自动发现的目的。一个完整的 StatefulSet 控制器由。
kubernetes--安全上下文(Security Context)
热门推荐
m0_57911290的博客
02-15 1万+
背景:容器中的应用程序默认以root账号运行的,这个root与宿主机root账号是相同的, 拥有大部分对Linux内核的系统调用权限,这样是不安全的,所以我们应该将容器以普 通用户运行,减少应用程序对权限的使用。启用特权模式就意味着,你要为容器提供了访问linux内核的所有能力,这是很危险的,为了减少系统调用的供给,可以使用Capabilities为容器赋予仅所需的能力。Linux Capabilities:是一个内核级别的权限,它允许对内核调用权限进行更细粒度的控制,而不是简单的以root身份能力授权。
k8s学习-CKS真题-Context安全上下文
关注网络安全、云原生安全
05-08 903
在spec下面添加(考试时可能已有securityContext)修改deployment。
kubernetes--pod安全策略(podSecurityPolicy
m0_57911290的博客
02-16 4547
Kubernetespod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。使用PSP对象定义一组pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被K8s接受。PodSecurityPolicyKubernetes v1.21 中被弃用, 在 Kubernetes v1.25 中被移除。
Pod 安全策略
爱死亡机器人
01-05 305
https://kubernetes.io/zh/docs/concepts/policy/pod-security-policy/
pod安全策略(PSP)
教Linux的李老师
06-27 374
启用pod安全策略 禁止创建特权模式pod
容器编排技术 -- Pod 安全策略
YunWisdom
08-21 1061
容器编排技术 -- Pod 安全策略 1什么是 Pod 安全策略? 1.1RunAsUser 1.2SELinux 1.3SupplementalGroups 1.4FSGroup 1.5控制卷 1.6主机网络 1.7允许的主机路径 2许可 3创建 Pod 安全策略 4获取 Pod 安全策略列表 5修改 Pod 安全策略 6...
10 个 Kubernetes 安全上下文配置
小楼一夜听春雨,深巷明朝卖杏花
07-12 612
Kubernetes安全地运行工作负载是很困难的,有很多配置都可能会影响到整个 Kubernetes API 的安全性,这需要我们有大量的知识积累来正确的实施。Kubernetes安全方面提供了一个强大的工具securityContext,每个 Pod容器清单都可以使用这个属性。在本文中我们将了解各种securityContext的配置,探讨它们的含义,以及我们应该如何使用它们。 securityContext设置在PodSpec和ContainerSpec规范中都有定义,...
k8s篇之Pod 安全策略
不务正业随手记
03-04 2175
默认情况下,Kubernetes 允许创建一个有特权容器Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。为了更精细地控制Pod对资源的使用方式,Kubernetes从1.4版本开始引入了PodSecurityPolicy资源对象对Pod安全策略进行管理。
Kubernetes 集群启用 Pod 安全策略
云原生实验室
04-06 806
最近有客户反馈在开启了安全策略的集群中部署产品失败,因此研究了一下 Kubernetes 提供的 pod 安全策略。文中的演示和示例均在 v1.18.17 集群中通过验证。Pod Security PoliciesPod Security Policies (下文简称 psp 或 pod 安全策略)是一种集群级别的全局资源,能够对 pod 的创建和更新进行细粒度的授权控制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值