简述Kubernetes PodSecurityPolicy机制
Kubernetes PodSecurityPolicy是为了更精细地控制Pod对资源的使用方式以及提升安全策略。
在开启PodSecurityPolicy准入控制器后,Kubernetes默认不允许创建任何Pod,需要创建PodSecurityPolicy策略和相应的RBAC授权策略(Authorizing Policies),Pod才能创建成功;
简述Kubernetes PodSecurityPolicy机制能实现哪些安全策略
1)特权模式:privileged是否允许Pod以特权模式运行;
2)宿主机资源:控制Pod对宿主机资源的控制,如hostPID:是否允许Pod共享宿主机的进程空间;
3)用户和组:设置运行容器的用户ID(范围)或组(范围);
4)提升权限:AllowPrivilegeEscalation:设置容器内的子进程是否可以提升权限,通常在设置非root用户(MustRunAsNonRoot)时进行设置;
5)SELinux:进行SELinux的相关配置;
标签:Kubernetes,PodSecurityPolicy,宿主机,安全策略,设置,Pod From: https://www.cnblogs.com/peteremperor/p/18066641