Pod 安全策略¶
Pod 安全策略指在 kubernetes 集群中,通过为指定命名空间配置不同的等级和模式,实现在安全的各个方面控制 Pod 的行为, 只有满足一定的条件的 Pod 才会被系统接受。它设置三个等级和三种模式,用户可以根据自己的需求选择更加合适的方案来设置限制策略。
Note
一条安全模式仅能配置一条安全策略。同时请谨慎为命名空间配置 enforce 的安全模式,违反后将会导致 Pod 无法创建。
本节将介绍如何通过容器管理界面为命名空间配置 Pod 安全策略。
前提条件¶
已完成一个命名空间的创建、用户的创建, 并为用户授予 NS Admin 或更高权限,详情可参考命名空间授权。
为命名空间配置 Pod 安全策略¶
-
选择需要配置 Pod 安全策略的命名空间,进入详情页。在 Pod 安全策略 页面点击 配置策略 ,进入配置页。
-
在配置页点击 添加策略 ,则会出现一条策略,包括安全级别和安全模式,以下是对安全级别和安全策略的详细介绍。
安全级别 描述 Privileged 不受限制的策略,提供最大可能范围的权限许可。此策略允许已知的特权提升。 Baseline 限制性最弱的策略,禁止已知的策略提升。允许使用默认的(规定最少)Pod 配置。 Restricted 限制性非常强的策略,遵循当前的保护 Pod 的最佳实践。 安全模式 描述 Audit 违反指定策略会在审计日志中添加新的审计事件,Pod 可以被创建。 Warn 违反指定策略会返回用户可见的告警信息,Pod 可以被创建。 Enforce 违反指定策略会导致 Pod 无法创建。 -
不同的安全级别对应不同的检查项,若您不知道该如何为您的命名空间配置,可以点击页面右上角的 策略配置项说明 查看详细信息。
-
点击确定,若创建成功,则页面上将出现您配置的安全策略。
-
点击 ┇ 还可以编辑或者删除您配置的安全策略。