这篇文章主要讲解了“Kubernetes PodSecurityPolicy怎么创建”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“Kubernetes PodSecurityPolicy怎么创建”吧!
默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会威胁系统安全,而 PodSecurityPolicy(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。
PodSecurityPolicy是集群级别的资源,它能够控制 Pod 运行的行为,以及它具有访问什么的能力。 PodSecurityPolicy对象定义了一组条件,指示 Pod 必须按系统所能接受条件运行。
以下是PodSecurityPolicy可以控制的内容: 
PodSecurityPolicy 是 Kubernetes API 对象,你可以在不对 Kubernetes 进行任何修改的情况下创建它们,但是,默认情况下不会强制执行我们创建的一些策略,我们需要一个准入控制器、kube-controller-manager 配置以及 RBAC 权限配置,下面我们就来对这些配置进行一一说明。
编辑/etc/kubernetes/manifest/kube-apiserver.yaml,添加PodSecurityPolicy,启用PSP的控制器。
- --enable-admission-plugins=NodeRestriction,PodSecurityPolicy
但是此时我们集群中现在缺少一些安全策略,那么新的 Pod 创建就会失败。 通过下面文件创建Pod:
apiVersion: apps/v1 kind: Deployment metadata: name: nginx-deploy namespace: default labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - name: nginx image: nginx:1.15.4
但是 replicaset 控制器却并没有创建 Pod,这个时候就需要使用 ServiceAccount 了。
#kubectl describe rs nginx-hostnetwork-deploy-76c46fdb6 Name: nginx-hostnetwork-deploy-76c46fdb6 Namespace: default Selector: app=nginx,pod-template-hash=76c46fdb6 Labels: app=nginx pod-template-hash=76c46fdb6 Annotations: deployment.kubernetes.io/desired-replicas: 1 deployment.kubernetes.io/max-replicas: 2 deployment.kubernetes.io/revision: 1 Controlled By: Deployment/nginx-hostnetwork-deploy Replicas: 0 current / 1 desired Pods Status: 0 Running / 0 Waiting / 0 Succeeded / 0 Failed Pod Template: Labels: app=nginx pod-template-hash=76c46fdb6 Containers: nginx: Image: nginx:1.15.4 Port: <none> Host Port: <none> Environment: <none> Mounts: <none> Volumes: <none> Conditions: Type Status Reason ---- ------ ------ ReplicaFailure True FailedCreate Events: Type Reason Age From Message ---- ------ ---- ---- ------- Warning FailedCreate 1s (x12 over 11s) replicaset-controller Error creating: pods "nginx-hostnetwork-deploy-76c46fdb6-" is forbidden: PodSecurityPolicy: no providers available to validate pod request
一般来说用户很少会直接创建 Pod,通常是通过 Deployment、StatefulSet、Job 或者 DasemonSet 这些控制器来创建 Pod 的,我们这里需要配置 kube-controller-manager 来为其包含的每个控制器使用单独的 ServiceAccount,我们可以通过在其命令启动参数中添加如下标志来实现。编辑/etc/kubernetes/manifest/kube-controller-manager.yaml,添加:
--use-service-account-credentials=true
一般情况下上面这个标志在大多数安装工具(如 kubeadm)中都是默认开启的,所以不需要单独配置了。
当 kube-controller-manager 开启上面的标志后,它将使用由 Kubernetes 自动生成的以下 ServiceAccount:
# kubectl get serviceaccount -n kube-system | egrep -o '[A-Za-z0-9-]+-controller' attachdetach-controller calico-kube-controller certificate-controller clusterrole-aggregation-controller cronjob-controller daemon-set-controller deployment-controller disruption-controller endpoint-controller expand-controller job-controller namespace-controller node-controller pv-protection-controller pvc-protection-controller replicaset-controller replication-controller resourcequota-controller service-account-controller service-controller statefulset-controller ttl-controller
这些 ServiceAccount 指定了哪个控制器可以解析哪些策略的配置。
在我们当前示例中,我们将创建2个策略,第一个是提供限制访问的“默认”策略,保证使用某些特权设置时(例如使用 hostNetwork)无法创建 Pod。第二种是一个“提升”的许可策略,允许将特权设置用于某些 Pod,例如在 kube-system 命名空间下面创建的 Pod 的权限。
首先,创建一个限制性策略,作为默认策略:(psp-restrictive.yaml)
apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: restrictive spec: privileged: false hostNetwork: false allowPrivilegeEscalation: false defaultAllowPrivilegeEscalation: false hostPID: false hostIPC: false runAsUser: rule: RunAsAny fsGroup: rule: RunAsAny seLinux: rule: RunAsAny supplementalGroups: rule: RunAsAny volumes: - 'configMap' - 'downwardAPI' - 'emptyDir' - 'persistentVolumeClaim' - 'secret' - 'projected' allowedCapabilities: - '*'
虽然限制性的访问对于大多数 Pod 创建是足够的了,但是对于需要提升访问权限的 Pod 来说,就需要一些允许策略了,例如,kube-proxy 就需要启用 hostNetwork,这就需要创建一个用于提升创建权限的许可策略了:(psp-permissive.yaml)
apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: permissive spec: privileged: true hostNetwork: true hostIPC: true hostPID: true seLinux: rule: RunAsAny supplementalGroups: rule: RunAsAny runAsUser: rule: RunAsAny fsGroup: rule: RunAsAny hostPorts: - min: 0 max: 65535 volumes: - '*'
现在配置都已经就绪了,但是我们需要引入到 Kubernetes 授权,这样才可以确定请求 Pod 创建的用户或者 ServiceAccount 是否解决了限制性或许可性策略,这就需要用到 RBAC 了。
在我们启用 Pod 安全策略的时候,可能会对 RBAC 引起混淆。它确定了一个账户可以使用的策略,使用集群范围的 ClusterRoleBinding 可以为 ServiceAccount(例如 replicaset-controller)提供对限制性策略的访问权限。使用命名空间范围的 RoleBinding,可以启用对许可策略的访问,这样可以在特定的命名空间(如 kube-system)中进行操作。下面演示了 daemonset-controller 创建 kube-proxy Pod 的解析路径: 
首先创建允许使用restrictive策略的 ClusterRole。然后创建一个 ClusterRoleBinding,将restrictive策略和系统中kube-system命名空间内所有的控制器 ServiceAccount 进行绑定:(psp-restrictive-rbac.yaml)
kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: psp-restrictive rules: - apiGroups: - extensions resources: - podsecuritypolicies resourceNames: - restrictive verbs: - use --- kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: psp-default subjects: - kind: Group name: system:serviceaccounts namespace: kube-system roleRef: kind: ClusterRole name: psp-restrictive apiGroup: rbac.authorization.k8s.io
然后现在我们再重新创建上面我们的定义的 Deployment:
apiVersion: apps/v1 kind: Deployment metadata: name: nginx-deploy namespace: default labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - name: nginx image: nginx:1.15.4
创建完成后同样查看下 default 命名空间下面我们创建的一些资源对象:
# kubectl get po,rs,deploy -l app=nginx NAME READY STATUS RESTARTS AGE pod/nginx-deploy-77f7d4c6b4-njfdl 1/1 Running 0 13s NAME DESIRED CURRENT READY AGE replicaset.extensions/nginx-deploy-77f7d4c6b4 1 1 1 13s NAME READY UP-TO-DATE AVAILABLE AGE deployment.extensions/nginx-deploy 1/1 1 1 13s
我们可以看到 Pods 被成功创建了,但是,如果我们尝试做一些策略不允许的事情,正常来说就应该被拒绝了。 现在我们在 nginx-deploy 基础上添加hostNetwork: true来使用 hostNetwork 这个特权:(nginx-hostnetwork.yaml)
apiVersion: apps/v1 kind: Deployment metadata: name: nginx-hostnetwork-deploy namespace: default labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - name: nginx image: nginx:1.15.4 hostNetwork: true # 注意添加hostNetwork
创建完成后同样查看 default 这个命名空间下面的一些资源对象:
# kubectl get po,rs,deploy -l app=nginx NAME READY STATUS RESTARTS AGE NAME DESIRED CURRENT READY AGE replicaset.extensions/nginx-hostnetwork-deploy-74c8fbd687 1 0 0 44s NAME READY UP-TO-DATE AVAILABLE AGE deployment.extensions/nginx-hostnetwork-deploy 0/1 0 0 44s
现在我们发现 ReplicaSet 又没有创建 Pod 了,可以使用kubectl describe命令去查看这里我们创建的 ReplicaSet 资源对象来了解更多的信息:
# kubectl describe rs nginx-hostnetwork-deploy-74c8fbd687 Name: nginx-hostnetwork-deploy-74c8fbd687 ...... Events: Type Reason Age From Message ---- ------ ---- ---- ------- Warning FailedCreate 80s (x15 over 2m42s) replicaset-controller Error creating: pods "nginx-hostnetwork-deploy-74c8fbd687-" is forbidden: unable to validate against any pod security policy: [spec.securityContext.hostNetwork: Invalid value: true: Host network is not allowed to be used]
我们可以看到很明显 Hostnetwork 不被允许使用,但是在某些情况下,我们的确有在某个命名空间(比如 kube-system)下面创建使用 hostNetwork 的 Pod,这里就需要我们创建一个允许执行的 ClusterRole,然后为特定的命名空间创建一个 RoleBinding,将这里的 ClusterRole 和相关的控制器 ServiceAccount 进行绑定:(psp-permissive-rbac.yaml)
kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: psp-permissive rules: - apiGroups: - extensions resources: - podsecuritypolicies resourceNames: - permissive verbs: - use --- apiVersion: rbac.authorization.k8s.io/v1beta1 kind: RoleBinding metadata: name: psp-permissive namespace: kube-system roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: psp-permissive subjects: - kind: ServiceAccount name: daemon-set-controller namespace: kube-system - kind: ServiceAccount name: replicaset-controller namespace: kube-system - kind: ServiceAccount name: job-controller namespace: kube-system
现在,我们就可以在 kube-system 这个命名空间下面使用 hostNetwork 来创建 Pod 了,将上面的 nginx 资源清单更改成 kube-system 命名空间下面:
apiVersion: apps/v1 kind: Deployment metadata: name: nginx-hostnetwork-deploy namespace: kube-system labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - name: nginx image: nginx:1.15.4 hostNetwork: true
创建完成后同样查看下对应的资源对象创建情况:
# kubectl get po,rs,deploy -n kube-system -l app=nginx NAME READY STATUS RESTARTS AGE pod/nginx-hostnetwork-deploy-74c8fbd687-7x8px 1/1 Running 0 2m1s NAME DESIRED CURRENT READY AGE replicaset.extensions/nginx-hostnetwork-deploy-74c8fbd687 1 1 1 2m1s NAME READY UP-TO-DATE AVAILABLE AGE deployment.extensions/nginx-hostnetwork-deploy 1/1 1 1 2m1s
现在我们可以看到 Pod 在 kube-system 这个命名空间下面创建成功了。
如果我们现在有这样的一个需求,在某个命名空间下面要强制执行我们创建的 restrictive(限制性)策略,但是这个命名空间下面的某个应用需要使用 permissive(许可)策略,那么应该怎么办呢?在当前模型中,我们只有集群级别和命名空间级别的解析。为了给某个应用提供单独的许可策略,我们可以为应用的 ServiceAccount 提供使用 permissive 这个 ClusterRole 的能力。
比如,还是在默认的命名空间下面创建一个名为 specialsa 的 ServiceAccount:
kubectl create serviceaccount specialsa
然后创建一个 RoleBinding 将 specialsa 绑定到上面的 psp-permissive 这个 CluterRole 上:(specialsa-psp.yaml)
apiVersion: rbac.authorization.k8s.io/v1beta1 kind: RoleBinding metadata: name: specialsa-psp-permissive namespace: default roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: psp-permissive subjects: - kind: ServiceAccount name: specialsa namespace: default
然后为我们上面的 Deployment 添加上 serviceAccount 属性:(nginx-hostnetwork-sa.yaml)
apiVersion: apps/v1 kind: Deployment metadata: name: nginx-hostnetwork-deploy namespace: default labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - name: nginx image: nginx:1.15.4 hostNetwork: true serviceAccount: specialsa # 注意这里使用的sa的权限绑定
这个时候我们查看 default 这个命名空间下面带有 hostNetwork 的 Pod 也创建成功了:
# kubectl get po,rs,deploy -l app=nginx NAME READY STATUS RESTARTS AGE pod/nginx-hostnetwork-deploy-6c85dfbf95-hqt8j 1/1 Running 0 65s NAME DESIRED CURRENT READY AGE replicaset.extensions/nginx-hostnetwork-deploy-6c85dfbf95 1 1 1 65s replicaset.extensions/nginx-hostnetwork-deploy-74c8fbd687 0 0 0 31m NAME READY UP-TO-DATE AVAILABLE AGE deployment.extensions/nginx-hostnetwork-deploy 1/1 1 1 31m
感谢各位的阅读,以上就是“Kubernetes PodSecurityPolicy怎么创建”的内容了,经过本文的学习后,相信大家对Kubernetes PodSecurityPolicy怎么创建这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是亿速云,小编将为大家推送更多相关知识点的文章,欢迎关注!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
