Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Pod-Sicherheit

Beitragende

Astra Control Center unterstützt die Einschränkung von Berechtigungen durch POD-Sicherheitsrichtlinien (PSPs) und POD-Sicherheitszulassung (PSA). Mithilfe dieser Frameworks können Sie begrenzen, welche Benutzer oder Gruppen Container ausführen können und welche Berechtigungen diese Container haben können.

Einige Kubernetes Distributionen verfügen möglicherweise über eine Standard-Pod-Sicherheitskonfiguration, die zu restriktiv ist und bei der Installation von Astra Control Center Probleme verursacht.

Anhand der hier enthaltenen Informationen und Beispiele können Sie die Sicherheitsänderungen des Behälters verstehen, die Astra Control Center vornimmt, und einen Pod-Sicherheitsansatz verwenden, der Ihnen den nötigen Schutz bietet, ohne die Funktionen des Astra Control Center zu beeinträchtigen.

PSAs durch Astra Control Center durchgesetzt

Während der Installation ermöglicht Astra Control Center die Durchsetzung einer Padsicherheitszulassung, indem das folgende Etikett zum hinzugefügt wird netapp-acc Oder ein benutzerdefinierter Namespace:

pod-security.kubernetes.io/enforce: privileged

PSPs, die vom Astra Control Center installiert werden

Wenn Sie Astra Control Center auf Kubernetes 1.23 oder 1.24 installieren, werden während der Installation mehrere POD-Sicherheitsrichtlinien erstellt. Einige davon sind dauerhaft, und einige von ihnen werden während bestimmter Operationen erstellt und werden entfernt, sobald der Vorgang abgeschlossen ist. Astra Control Center versucht nicht, PSPs zu installieren, wenn auf dem Host-Cluster Kubernetes 1.25 oder höher ausgeführt wird, da diese nicht von diesen Versionen unterstützt werden.

PSPs, die während der Installation erstellt wurden

Während der Installation des Astra Control Center installiert der Astra Control Center-Operator eine benutzerdefinierte POD-Sicherheitsrichtlinie, A Role Objekt und A RoleBinding Soll die Implementierung der Astra Control Center-Services im Astra Control Center Namespace unterstützen.

Die neue Richtlinie und die neuen Objekte haben folgende Attribute:

kubectl get psp

NAME                           PRIV    CAPS          SELINUX    RUNASUSER          FSGROUP     SUPGROUP    READONLYROOTFS   VOLUMES
netapp-astra-deployment-psp    false                 RunAsAny   RunAsAny           RunAsAny    RunAsAny    false            *

kubectl get role -n <namespace_name>

NAME                                     CREATED AT
netapp-astra-deployment-role             2022-06-27T19:34:58Z

kubectl get rolebinding -n <namespace_name>

NAME                                     ROLE                                          AGE
netapp-astra-deployment-rb               Role/netapp-astra-deployment-role             32m

Während des Backup-Betriebs erstellte PSPs

Während des Backups erstellt Astra Control Center eine dynamische POD-Sicherheitsrichtlinie, A ClusterRole Objekt und A RoleBinding Objekt: Diese unterstützen den Backup-Prozess, der in einem separaten Namespace geschieht.

Die neue Richtlinie und die neuen Objekte haben folgende Attribute:

kubectl get psp

NAME                           PRIV    CAPS                            SELINUX    RUNASUSER          FSGROUP     SUPGROUP    READONLYROOTFS   VOLUMES
netapp-astra-backup            false   DAC_READ_SEARCH                 RunAsAny   RunAsAny           RunAsAny    RunAsAny    false            *

kubectl get role -n <namespace_name>

NAME                  CREATED AT
netapp-astra-backup   2022-07-21T00:00:00Z

kubectl get rolebinding -n <namespace_name>

NAME                  ROLE                       AGE
netapp-astra-backup   Role/netapp-astra-backup   62s

PSPs, die während des Clustermanagements erstellt wurden

Wenn Sie einen Cluster verwalten, installiert Astra Control Center den netapp Monitoring Operator im Managed Cluster. Dieser Operator erstellt eine POD-Sicherheitsrichtlinie, A ClusterRole Objekt und A RoleBinding Implementieren von Telemetrieservices im Astra Control Center Namespace

Die neue Richtlinie und die neuen Objekte haben folgende Attribute:

kubectl get psp

NAME                           PRIV    CAPS                            SELINUX    RUNASUSER          FSGROUP     SUPGROUP    READONLYROOTFS   VOLUMES
netapp-monitoring-psp-nkmo     true    AUDIT_WRITE,NET_ADMIN,NET_RAW   RunAsAny   RunAsAny           RunAsAny    RunAsAny    false            *

kubectl get role -n <namespace_name>

NAME                                           CREATED AT
netapp-monitoring-role-privileged              2022-07-21T00:00:00Z

kubectl get rolebinding -n <namespace_name>

NAME                                                  ROLE                                                AGE
netapp-monitoring-role-binding-privileged             Role/netapp-monitoring-role-privileged              2m5s