Kubernetes 中的安全上下文

Kubernetes 中的安全上下文

在如下所示的 K8s 组件 Statefulset 下,安全上下文在 Kubernetes 1.21 版本中运行良好,但当我尝试使用新版本时,它无法正常工作。我理解这是因为最新版本中存在“PodSecurityPolicy 弃用”。但我无法找到如何在 yaml 文件中使用“securityContext: fsGroup: 1001”的替代方法。对此有任何指导吗?

在此处输入图片描述

答案1

来自的建议Kubernetes 官方文档,正在迁移到吊舱安全入场

不幸的是,迁移并不像更改清单上的某一行那么简单,它需要一个非常详细的过程,因为它可能导致生产中断或安全漏洞。

在里面从 PSP 迁移文档中,您可以找到完成成功迁移的总体方法:

有多种策略可用于从 PodSecurityPolicy 迁移到 Pod Security Admission。以下步骤是一种可能的迁移路径,目的是最大限度地降低生产中断和安全漏洞的风险。

  1. 确定 Pod Security Admission 是否适合您的用例。
  2. 查看命名空间权限Review namespace permissions
  3. 简化并标准化 PodSecurityPolicies
  4. 更新命名空间
    1. 确定适当的 Pod 安全级别
    2. 验证 Pod 安全级别
    3. 强制执行 Pod 安全级别
    4. 绕过 PodSecurityPolicy
  5. 审查命名空间创建流程
  6. 禁用 PodSecurityPolicy

相关内容