La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Sécurité des pods

Contributeurs

Astra Control Center prend en charge la limitation des privilèges via les politiques de sécurité du pod (CSP) et l’admission à la sécurité du pod (PSA). Ces frameworks vous permettent de limiter les utilisateurs ou les groupes capables d’exécuter des conteneurs et les privilèges dont ils disposent.

Certaines distributions Kubernetes peuvent disposer d’une configuration de sécurité du pod par défaut trop restrictive et entraîner des problèmes lors de l’installation d’Astra Control Center.

Vous pouvez utiliser les informations et exemples inclus ici pour comprendre les changements de sécurité apportés par Astra Control Center et utiliser une approche de sécurité de pod qui fournit la protection dont vous avez besoin sans interférer avec les fonctions du Control Center Astra.

PSA appliquée par Astra Control Center

Pendant l’installation, Astra Control Center permet d’appliquer une entrée de sécurité de pod en ajoutant l’étiquette suivante au netapp-acc ou un espace de noms personnalisé :

pod-security.kubernetes.io/enforce: privileged

PSP installé par Astra Control Center

Lorsque vous installez Astra Control Center sur Kubernetes 1.23 ou 1.24, plusieurs règles de sécurité du pod sont créées lors de l’installation. Certaines sont permanentes, certaines d’entre elles sont créées pendant certaines opérations et sont supprimées une fois l’opération terminée. Astra Control Center ne tente pas d’installer les PSP lorsque le cluster hôte exécute Kubernetes 1.25 ou une version ultérieure, car ils ne sont pas pris en charge sur ces versions.

PSP créé lors de l’installation

Lors de l’installation d’Astra Control Center, l’opérateur du centre de contrôle Astra installe une politique de sécurité de pod personnalisée, a Role objet, et un RoleBinding Objet prenant en charge le déploiement des services de centre de contrôle Astra dans l’espace de noms d’Astra Control Center.

La nouvelle règle et les objets ont les attributs suivants :

kubectl get psp

NAME                           PRIV    CAPS          SELINUX    RUNASUSER          FSGROUP     SUPGROUP    READONLYROOTFS   VOLUMES
netapp-astra-deployment-psp    false                 RunAsAny   RunAsAny           RunAsAny    RunAsAny    false            *

kubectl get role -n <namespace_name>

NAME                                     CREATED AT
netapp-astra-deployment-role             2022-06-27T19:34:58Z

kubectl get rolebinding -n <namespace_name>

NAME                                     ROLE                                          AGE
netapp-astra-deployment-rb               Role/netapp-astra-deployment-role             32m

PSP créé pendant les opérations de sauvegarde

Pendant les opérations de sauvegarde, Astra Control Center crée une règle de sécurité dynamique de pod, A. ClusterRole objet, et un RoleBinding objet. Ils prennent en charge le processus de sauvegarde, qui se produit dans un espace de noms distinct.

La nouvelle règle et les objets ont les attributs suivants :

kubectl get psp

NAME                           PRIV    CAPS                            SELINUX    RUNASUSER          FSGROUP     SUPGROUP    READONLYROOTFS   VOLUMES
netapp-astra-backup            false   DAC_READ_SEARCH                 RunAsAny   RunAsAny           RunAsAny    RunAsAny    false            *

kubectl get role -n <namespace_name>

NAME                  CREATED AT
netapp-astra-backup   2022-07-21T00:00:00Z

kubectl get rolebinding -n <namespace_name>

NAME                  ROLE                       AGE
netapp-astra-backup   Role/netapp-astra-backup   62s

PSP créé lors de la gestion du cluster

Lorsque vous gérez un cluster, Astra Control Center installe l’opérateur de surveillance netapp dans le cluster géré. Cet opérateur crée une stratégie de sécurité de pod, A. ClusterRole objet, et un RoleBinding Objet permettant de déployer des services de télémétrie dans l’espace de noms Astra Control Center.

La nouvelle règle et les objets ont les attributs suivants :

kubectl get psp

NAME                           PRIV    CAPS                            SELINUX    RUNASUSER          FSGROUP     SUPGROUP    READONLYROOTFS   VOLUMES
netapp-monitoring-psp-nkmo     true    AUDIT_WRITE,NET_ADMIN,NET_RAW   RunAsAny   RunAsAny           RunAsAny    RunAsAny    false            *

kubectl get role -n <namespace_name>

NAME                                           CREATED AT
netapp-monitoring-role-privileged              2022-07-21T00:00:00Z

kubectl get rolebinding -n <namespace_name>

NAME                                                  ROLE                                                AGE
netapp-monitoring-role-binding-privileged             Role/netapp-monitoring-role-privileged              2m5s