Pod安全策略控制是可选的(但 推荐)准入控制器。 PodSecurityPolicies由以下人员实施 启用准入控制器,但这样做无需授权 任何策略都会阻止在集群中创建任何Pod。
自从pod安全策略API(policy / v1beta1 / podsecuritypolicy)起 对于现有设备,独立于接纳控制器启用 群集,建议添加和授权策略 在启用准入控制器之前。
问题:
我需要创建一个集群,然后再定义一个pod安全策略,以限制以受限方式运行pod的帐户/凭据。
这是否适用于该特定帐户或群集中的所有Pod?我宁愿保持默认的管理员帐户不受限制,而只允许该特定用户帐户的修订uid / gid运行Pod。
我只是怀疑是否将Pod限制为只作为修正uid / gid运行,是否可能破坏集群中的内容?
如何将pod安全策略应用于除集群管理之外的所有名称空间(现有和新)中的所有用户/服务帐户
答案 0 :(得分:1)
此帖子之后:
https://medium.com/coryodaniel/kubernetes-assigning-pod-security-policies-with-rbac-2ad2e847c754
结果是我可以创建两个PSP:
特权
受限制的
默认情况下,管理员可以访问这两个目录,但是它们是按字母顺序分配的,因此我可以将它们命名为:
01特权
和
100限制
因此对于Admin来说,有效的将是第一个。
对于普通用户,我将通过clusterRole和Rolebinding为所有经过身份验证的用户分配受限的一个。
但是事实证明,将PSP应用于用户帐户可以创建简单的Pod,但是如果他们尝试在部署中创建副本集,则将无法正常工作,我们也需要将策略分配给Pod服务帐户