防止 UID 0 容器运行 Kubernetes

防止 UID 0 容器运行 Kubernetes

传统上,我会使用 pod 安全策略阻止 root/UID 0 容器在 kubernetes 中运行。然而,似乎在 1.21 中 PSP 已被弃用。还有其他推荐的方法可以阻止这些容器在集群级别运行吗?

答案1

正如 @mdaniel 评论所建议的那样,它值得一读PodSecurityPolicy 弃用:过去、现在和未来文章中,你会发现 Kubernetes 团队建议使用Gatekeeper 策略库用于复杂的绑定规则。

欲了解更多详细信息,我建议阅读:

你可以在集群级别设置 Gatekeeper

  • scope 接受 *Cluster或 , Namespaced 确定是否选择集群范围和/或名称空间范围的资源。(默认为 *

对于你的使用,你可能会发现守门人约束 users有用。查看示例样本文件夹

相关内容