亚马逊AWS官方博客

Category: Open Source

将 Pod 安全策略与 Amazon EKS 集群结合使用

对于您要求的功能,我们已使用Kubernetes 1.13 将其启用:Amazon Elastic Container Service for Kubernetes (EKS) 现支持 Pod 安全策略。在本篇博文中,我们将从集群管理员和开发人员的角度,审视 PSP 是什么,如何在 Kubernetes 控制平面中启用它们以及如何使用它们。 什么是 Pod 安全策略,我为何要关心? 作为集群管理员,您可能想知道如何在集群中强制执行有关 pod 运行时属性的特定策略。例如,您可能希望阻止开发人员使用未定义用户的容器运行 pod(因此,以 root 身份运行)。您可能在 pod 规范中创建了关于开发人员设置安全上下文的文档,对此开发人员可能遵循……也可能选择不遵循。无论如何,您都需要一种在集群范围内强制执行此类策略的机制。 解决方法是将 Pod 安全策略 (PSP) 作为深度防御策略的一部分。 需要注意的是,pod 的安全上下文定义了各种权限和访问控制设置,例如自主访问控制(比如基于特定用户 ID 访问文件)、功能(比如通过定义 AppArmor 配置文件)、配置 SECCOMP(通过过滤某些系统调用),以及允许您实施强制访问控制(通过 SELinux)。 另一方面,PSP 是集群范围的资源,使您可以作为集群管理员在集群中强制使用安全上下文。PSP 由 API 服务器的准入控制器强制执行。简而言之:如果 pod 规范不符合您在 PSP 中定义的内容,则 API 服务器将拒绝启动它。要使 PSP 正常工作,必须启用相应的 准入插件,并且必须授予用户权限。EKS 1.13 集群现在默认启用 PSP 准入插件,因此 EKS […]

Read More