跳转至

容器组安全策略

容器组安全策略指在 kubernetes 集群中,通过为指定命名空间配置不同的等级和模式,实现在安全的各个方面控制 Pod 的行为,只有满足一定的条件的 Pod 才会被系统接受。它设置三个等级和三种模式,用户可以根据自己的需求选择更加合适的方案来设置限制策略。

Note

一条安全模式仅能配置一条安全策略。同时请谨慎为命名空间配置 enforce 的安全模式,违反后将会导致 Pod 无法创建。

本节将介绍如何通过容器管理界面为命名空间配置容器组安全策略。

前提条件

为命名空间配置容器组安全策略

  1. 选择需要配置容器组安全策略的命名空间,进入详情页。在容器组安全策略页面点击配置策略,进入配置页。

    配置策略列表

  2. 在配置页点击添加策略,则会出现一条策略,包括安全级别和安全模式,以下是对安全级别和安全策略的详细介绍。

    安全级别 描述
    Privileged 不受限制的策略,提供最大可能范围的权限许可。此策略允许已知的特权提升。
    Baseline 限制性最弱的策略,禁止已知的策略提升。允许使用默认的(规定最少)Pod 配置。
    Restricted 限制性非常强的策略,遵循当前的保护 Pod 的最佳实践。
    安全模式 描述
    Audit 违反指定策略会在审计日志中添加新的审计事件,Pod 可以被创建。
    Warn 违反指定策略会返回用户可见的告警信息,Pod 可以被创建。
    Enforce 违反指定策略会导致 Pod 无法创建。

    添加策略

  3. 不同的安全级别对应不同的检查项,若您不知道该如何为您的命名空间配置,可以点击页面右上角的策略配置项说明查看详细信息。

    配置项说明01

    配置项说明01

  4. 点击确定,若创建成功,则页面上将出现您配置的安全策略。

    创建成功

  5. 点击操作还可以编辑或者删除您配置的安全策略。

    操作

评论