传统上,我会使用 pod 安全策略阻止 root/UID 0 容器在 kubernetes 中运行。然而,似乎在 1.21 中 PSP 已被弃用。还有其他推荐的方法可以阻止这些容器在集群级别运行吗?
答案1
正如 @mdaniel 评论所建议的那样,它值得一读PodSecurityPolicy 弃用:过去、现在和未来文章中,你会发现 Kubernetes 团队建议使用Gatekeeper 策略库用于复杂的绑定规则。
欲了解更多详细信息,我建议阅读:
scope
接受*
、Cluster
或 ,Namespaced
确定是否选择集群范围和/或名称空间范围的资源。(默认为*
)