kubernetes 从PSP迁移到PSA

wvyml7n5  于 2023-08-03  发布在  Kubernetes
关注(0)|答案(1)|浏览(170)

我已经将以下标签添加到我的命名空间:

pod-security.kubernetes.io/enforce=restricted
pod-security.kubernetes.io/warn=restricted
pod-security.kubernetes.io/warn-version=latest

字符串
一切都很好,但当我尝试在该名称空间中应用此特权Pod时,它允许创建,没有抛出警告,并且Pod启动,我希望得到警告,并且由于最严格的强制执行而被阻止的Pod正在创建

apiVersion: apps/v1
kind: Deployment
metadata:
  name: hello-kubernetes
  namespace: gatekeeper-system
  labels:
    product: hello-kubernetes
    team: forward-deployed-engineering
spec:
  replicas: 3
  selector:
    matchLabels:
      app: hello-kubernetes 
  template:
    metadata:
      labels:
        app: hello-kubernetes
    spec:
      containers:
      - name: api-server
        image: nginxdemos/hello
        imagePullPolicy: Always
        ports:
        - containerPort: 80
        securityContext:
          allowPrivilegeEscalation: true
          privileged: true
          capabilities:
            add: ["NET_ADMIN"]
        resources:
          requests:
            memory: "8Mi"
            cpu: "32m"
          limits:
            memory: "16Mi"
            cpu: "64m"
      tolerations:
      - key: "kubernetes.azure.com/scalesetpriority"
        value: "spot"
        effect: "NoSchedule"


我的问题是,我在寻找这个PSA的工作。
我在AKS 1.24中运行,PSA自1.23起可用,根据:https://learn.microsoft.com/en-us/azure/aks/use-psa

edit由于某种原因,它在我在部署文件中使用的名称空间上不起作用,但在另一个名称空间中可以正常工作

vcirk6k6

vcirk6k61#

经过研究发现,该名称空间位于云提供商创建的准入豁免列表中。
看起来Azure自己的OPA部署已经决定排除gatekeeper系统命名空间,提供了试图在1.25集群上添加psa实施的消息。
警告:命名空间“gatekeeper-system”不受Pod安全保护,策略(enforce=restricted:latest)将被忽略

相关问题