Notes de mise à jour
Sécurité des pods
Suggérer des modifications
PDF
Astra Control Center prend en charge la limitation des privilèges via les politiques de sécurité du pod (CSP) et l’admission à la sécurité du pod (PSA). Ces frameworks vous permettent de limiter les utilisateurs ou les groupes capables d’exécuter des conteneurs et les privilèges dont ils disposent.
Certaines distributions Kubernetes peuvent disposer d’une configuration de sécurité du pod par défaut trop restrictive et entraîner des problèmes lors de l’installation d’Astra Control Center.
Vous pouvez utiliser les informations et exemples inclus ici pour comprendre les changements de sécurité apportés par Astra Control Center et utiliser une approche de sécurité de pod qui fournit la protection dont vous avez besoin sans interférer avec les fonctions du Control Center Astra.
PSA appliquée par Astra Control Center
ASTRA Control Center permet de mettre en application une admission à la sécurité du pod en ajoutant l’étiquette suivante au namespace où Astra est installée (espace de noms NetApp-acc ou personnalisé) et aux espaces de noms créés pour les sauvegardes.
pod-security.kubernetes.io/enforce: privileged
PSP installé par Astra Control Center
Lorsque vous installez Astra Control Center sur Kubernetes 1.23 ou 1.24, plusieurs règles de sécurité du pod sont créées lors de l’installation. Certaines sont permanentes, certaines d’entre elles sont créées pendant certaines opérations et sont supprimées une fois l’opération terminée. Astra Control Center ne tente pas d’installer les PSP lorsque le cluster hôte exécute Kubernetes 1.25 ou une version ultérieure, car ils ne sont pas pris en charge sur ces versions.
PSP créé lors de l’installation
Lors de l’installation d’Astra Control Center, l’opérateur du centre de contrôle Astra installe une politique de sécurité de pod personnalisée, a Role objet, et un RoleBinding Objet prenant en charge le déploiement des services de centre de contrôle Astra dans l’espace de noms d’Astra Control Center.
La nouvelle règle et les objets ont les attributs suivants :
kubectl get psp NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP READONLYROOTFS VOLUMES netapp-astra-deployment-psp false RunAsAny RunAsAny RunAsAny RunAsAny false * kubectl get role -n <namespace_name> NAME CREATED AT netapp-astra-deployment-role 2022-06-27T19:34:58Z kubectl get rolebinding -n <namespace_name> NAME ROLE AGE netapp-astra-deployment-rb Role/netapp-astra-deployment-role 32m
PSP créé pendant les opérations de sauvegarde
Pendant les opérations de sauvegarde, Astra Control Center crée une règle de sécurité dynamique de pod, A. ClusterRole objet, et un RoleBinding objet. Ils prennent en charge le processus de sauvegarde, qui se produit dans un espace de noms distinct.
La nouvelle règle et les objets ont les attributs suivants :
kubectl get psp NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP READONLYROOTFS VOLUMES netapp-astra-backup false DAC_READ_SEARCH RunAsAny RunAsAny RunAsAny RunAsAny false * kubectl get role -n <namespace_name> NAME CREATED AT netapp-astra-backup 2022-07-21T00:00:00Z kubectl get rolebinding -n <namespace_name> NAME ROLE AGE netapp-astra-backup Role/netapp-astra-backup 62s
PSP créé lors de la gestion du cluster
Lorsque vous gérez un cluster, Astra Control Center installe l’opérateur de surveillance netapp dans le cluster géré. Cet opérateur crée une stratégie de sécurité de pod, A. ClusterRole objet, et un RoleBinding Objet permettant de déployer des services de télémétrie dans l’espace de noms Astra Control Center.
La nouvelle règle et les objets ont les attributs suivants :
kubectl get psp NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP READONLYROOTFS VOLUMES netapp-monitoring-psp-nkmo true AUDIT_WRITE,NET_ADMIN,NET_RAW RunAsAny RunAsAny RunAsAny RunAsAny false * kubectl get role -n <namespace_name> NAME CREATED AT netapp-monitoring-role-privileged 2022-07-21T00:00:00Z kubectl get rolebinding -n <namespace_name> NAME ROLE AGE netapp-monitoring-role-binding-privileged Role/netapp-monitoring-role-privileged 2m5s