在如下所示的 K8s 组件 Statefulset 下,安全上下文在 Kubernetes 1.21 版本中运行良好,但当我尝试使用新版本时,它无法正常工作。我理解这是因为最新版本中存在“PodSecurityPolicy 弃用”。但我无法找到如何在 yaml 文件中使用“securityContext: fsGroup: 1001”的替代方法。对此有任何指导吗?
答案1
来自的建议Kubernetes 官方文档,正在迁移到吊舱安全入场。
不幸的是,迁移并不像更改清单上的某一行那么简单,它需要一个非常详细的过程,因为它可能导致生产中断或安全漏洞。
在里面从 PSP 迁移文档中,您可以找到完成成功迁移的总体方法:
有多种策略可用于从 PodSecurityPolicy 迁移到 Pod Security Admission。以下步骤是一种可能的迁移路径,目的是最大限度地降低生产中断和安全漏洞的风险。
- 确定 Pod Security Admission 是否适合您的用例。
- 查看命名空间权限Review namespace permissions
- 简化并标准化 PodSecurityPolicies
- 更新命名空间
- 确定适当的 Pod 安全级别
- 验证 Pod 安全级别
- 强制执行 Pod 安全级别
- 绕过 PodSecurityPolicy
- 审查命名空间创建流程
- 禁用 PodSecurityPolicy