从 PodSecurityPolicy 映射到 Pod 安全性标准

下面的表格列举了 PodSecurityPolicy 对象上的配置参数,这些字段是否会变更或检查 Pod 配置,以及这些配置值如何映射到 Pod 安全性标准(Pod Security Standards) 之上。

对于每个可应用的参数,表格中给出了 BaselineRestricted 配置下可接受的取值。 对这两种配置而言不可接受的取值均归入 Privileged 配置下。“无意见”意味着对所有 Pod 安全性标准而言所有取值都可接受。

如果想要了解如何一步步完成迁移,可参阅 从 PodSecurityPolicy 迁移到内置的 PodSecurity 准入控制器

PodSecurityPolicy 规约

下面表格中所列举的字段是 PodSecurityPolicySpec 的一部分,是通过 .spec 字段路径来设置的。

从 PodSecurityPolicySpec 字段映射到 Pod Security 标准
PodSecurityPolicySpec类型Pod 安全性标准中对应设置
privileged检查性质Baseline & Restricted: false / 未定义 / nil
defaultAddCapabilities更改性质 & 检查性质需求满足下面的 allallowedCapabilities
allowedCapabilities检查性质

Baseline:下面各项的子集

  • AUDIT_WRITE
  • CHOWN
  • DAC_OVERRIDE
  • FOWNER
  • FSETID
  • KILL
  • MKNOD
  • NET_BIND_SERVICE
  • SETFCAP
  • SETGID
  • SETPCAP
  • SETUID
  • SYS_CHROOT

Restricted:空 / 未定义 / nil 或包含 NET_BIND_SERVICE 的列表

requiredDropCapabilities更改性质 & 检查性质

Baseline:无意见

Restricted:必须包含 ALL

volumes检查性质

Baseline除下列取值之外的任何值

  • hostPath
  • *

Restricted:下列取值的子集

  • configMap
  • csi
  • downwardAPI
  • emptyDir
  • ephemeral
  • persistentVolumeClaim
  • projected
  • secret
hostNetwork检查性质Baseline & Restrictedfalse / 未定义 / nil
hostPorts检查性质Baseline & Restricted:未定义 / nil / 空
hostPID检查性质Baseline & Restrictedfalse / 未定义 / nil
hostIPC检查性质Baseline & Restrictedfalse / 未定义 / nil
seLinux更改性质 & 检查性质

Baseline & RestrictedseLinux.ruleMustRunAs,且 options 如下:

  • user 未设置("" / 未定义 / nil)
  • role 未设置("" / 未定义 / nil)
  • type 未设置或者取值为 container_tcontainer_init_tcontainer_kvm_t 之一
  • level 是任何取值
runAsUser变更性质 & 检查性质

Baseline:任何取值

RestrictedruleMustRunAsNonRoot

runAsGroup变更性质(MustRunAs)& 检查性质无意见
supplementalGroups变更性质 & 检查性质无意见
fsGroup变更性质 & 验证性质无意见
readOnlyRootFilesystem变更性质 & 检查性质无意见
defaultAllowPrivilegeEscalation变更性质无意见(非变更性质)
allowPrivilegeEscalation变更性质 & 检查性质

只有设置为 false 时才执行变更动作

Baseline:无意见

Restrictedfalse

allowedHostPaths检查性质无意见(volumes 优先)
allowedFlexVolumes检查性质无意见(volumes 优先)
allowedCSIDrivers检查性质无意见(volumes 优先)
allowedUnsafeSysctls检查性质Baseline & Restricted:未定义 / nil / 空
forbiddenSysctls检查性质无意见
allowedProcMountTypes
(alpha feature)
检查性质Baseline & Restricted["Default"] 或者未定义 / nil / 空
runtimeClass
 .defaultRuntimeClassName
变更性质无意见
runtimeClass
 .allowedRuntimeClassNames
检查性质无意见

PodSecurityPolicy 注解

下面表格中所列举的注解 可以通过 .metadata.annotations 设置到 PodSecurityPolicy 对象之上。

将 PodSecurityPolicy 注解映射到 Pod 安全性标准
PSP 注解类型Pod 安全性标准中对应设置
seccomp.security.alpha.kubernetes.io
/defaultProfileName
变更性质无意见
seccomp.security.alpha.kubernetes.io
/allowedProfileNames
检查性质

Baseline"runtime/default," (其中尾部的逗号允许取消设置)

Restricted"runtime/default" (没有尾部逗号)

localhost/* 取值对于 Baseline 和 Restricted 都是可接受的

apparmor.security.beta.kubernetes.io
/defaultProfileName
变更性质无意见
apparmor.security.beta.kubernetes.io
/allowedProfileNames
检查性质

Baseline"runtime/default," (其中尾部的逗号允许取消设置)

Restricted"runtime/default" (没有尾部逗号)

localhost/* 取值对于 Baseline 和 Restricted 都是可接受的

最后修改 June 17, 2022 at 12:02 PM PST: Modify the wrong link (#34340) (97af67a8f7)