Pod-Sicherheit
Änderungen vorschlagen
PDFs
Astra Control Center unterstützt die Einschränkung von Berechtigungen durch POD-Sicherheitsrichtlinien (PSPs) und POD-Sicherheitszulassung (PSA). Mithilfe dieser Frameworks können Sie begrenzen, welche Benutzer oder Gruppen Container ausführen können und welche Berechtigungen diese Container haben können.
Einige Kubernetes Distributionen verfügen möglicherweise über eine Standard-Pod-Sicherheitskonfiguration, die zu restriktiv ist und bei der Installation von Astra Control Center Probleme verursacht.
Anhand der hier enthaltenen Informationen und Beispiele können Sie die Sicherheitsänderungen des Behälters verstehen, die Astra Control Center vornimmt, und einen Pod-Sicherheitsansatz verwenden, der Ihnen den nötigen Schutz bietet, ohne die Funktionen des Astra Control Center zu beeinträchtigen.
PSAs durch Astra Control Center durchgesetzt
Astra Control Center ermöglicht die Durchsetzung einer Pod-Sicherheitsaufnahme, indem dem Namespace, auf dem Astra installiert ist, das folgende Label hinzugefügt wird (netapp-ACC oder benutzerdefinierter Namespace) und für Backups erstellte Namespaces.
pod-security.kubernetes.io/enforce: privileged
PSPs, die vom Astra Control Center installiert werden
Wenn Sie Astra Control Center auf Kubernetes 1.23 oder 1.24 installieren, werden während der Installation mehrere POD-Sicherheitsrichtlinien erstellt. Einige davon sind dauerhaft, und einige von ihnen werden während bestimmter Operationen erstellt und werden entfernt, sobald der Vorgang abgeschlossen ist. Astra Control Center versucht nicht, PSPs zu installieren, wenn auf dem Host-Cluster Kubernetes 1.25 oder höher ausgeführt wird, da diese nicht von diesen Versionen unterstützt werden.
PSPs, die während der Installation erstellt wurden
Während der Installation des Astra Control Center installiert der Astra Control Center-Operator eine benutzerdefinierte POD-Sicherheitsrichtlinie, A Role Objekt und A RoleBinding Soll die Implementierung der Astra Control Center-Services im Astra Control Center Namespace unterstützen.
Die neue Richtlinie und die neuen Objekte haben folgende Attribute:
kubectl get psp NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP READONLYROOTFS VOLUMES netapp-astra-deployment-psp false RunAsAny RunAsAny RunAsAny RunAsAny false * kubectl get role -n <namespace_name> NAME CREATED AT netapp-astra-deployment-role 2022-06-27T19:34:58Z kubectl get rolebinding -n <namespace_name> NAME ROLE AGE netapp-astra-deployment-rb Role/netapp-astra-deployment-role 32m
Während des Backup-Betriebs erstellte PSPs
Während des Backups erstellt Astra Control Center eine dynamische POD-Sicherheitsrichtlinie, A ClusterRole Objekt und A RoleBinding Objekt: Diese unterstützen den Backup-Prozess, der in einem separaten Namespace geschieht.
Die neue Richtlinie und die neuen Objekte haben folgende Attribute:
kubectl get psp NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP READONLYROOTFS VOLUMES netapp-astra-backup false DAC_READ_SEARCH RunAsAny RunAsAny RunAsAny RunAsAny false * kubectl get role -n <namespace_name> NAME CREATED AT netapp-astra-backup 2022-07-21T00:00:00Z kubectl get rolebinding -n <namespace_name> NAME ROLE AGE netapp-astra-backup Role/netapp-astra-backup 62s
PSPs, die während des Clustermanagements erstellt wurden
Wenn Sie einen Cluster verwalten, installiert Astra Control Center den netapp Monitoring Operator im Managed Cluster. Dieser Operator erstellt eine POD-Sicherheitsrichtlinie, A ClusterRole Objekt und A RoleBinding Implementieren von Telemetrieservices im Astra Control Center Namespace
Die neue Richtlinie und die neuen Objekte haben folgende Attribute:
kubectl get psp NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP READONLYROOTFS VOLUMES netapp-monitoring-psp-nkmo true AUDIT_WRITE,NET_ADMIN,NET_RAW RunAsAny RunAsAny RunAsAny RunAsAny false * kubectl get role -n <namespace_name> NAME CREATED AT netapp-monitoring-role-privileged 2022-07-21T00:00:00Z kubectl get rolebinding -n <namespace_name> NAME ROLE AGE netapp-monitoring-role-binding-privileged Role/netapp-monitoring-role-privileged 2m5s